1.挖礦木馬分析

1.概述挖礦木馬是通過(guò)各種手段將挖礦程序植入受害者的計(jì)算機(jī)中，在用戶不知情的情況下，利用受害者計(jì)算機(jī)的運(yùn)算力進(jìn)行挖礦，從而獲取非法收益目前有多個(gè)威脅組織（例如，TeamTNT、H2Miner等）傳播挖礦木馬，致使用戶系統(tǒng)資源被惡意占用和消耗、硬件壽命被縮短，嚴(yán)重影響用戶生產(chǎn)生活，阻礙社會(huì)發(fā)展。

2.挖礦木馬是什么意思

2021年，安天CERT發(fā)布了多篇針武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格對(duì)挖礦木馬的分析報(bào)告，現(xiàn)將2021年典型的挖礦木馬進(jìn)行了梳理，形成家族概覽，進(jìn)行分享挖礦木馬家族出現(xiàn)時(shí)間針對(duì)平臺(tái)Outlaw2018年11月LinuxTor2Mine

3.挖礦木馬有什么特征?如何進(jìn)行有效防范?

2018年12月WindowsTeamTNT2019年10月Windows、LinuxH2Miner2019年12月Windows、LinuxSatan DDoS2020年5月Windows、Linux

4.挖礦木馬源代碼

Sysrv-hello2020年12月Windows、Linux云鏟2021年2月LinuxHolesWarm2021年6月Windows、Linux2.挖礦木馬的危害大量武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格消耗計(jì)算機(jī)資源：挖礦木馬普遍消耗大量系統(tǒng)資源，使系統(tǒng)及其服務(wù)、應(yīng)用軟件運(yùn)行緩慢，甚至可能使正常服務(wù)崩潰，造成數(shù)據(jù)丟失；

5.挖礦木馬攻擊利用最多的漏洞

降低計(jì)算機(jī)設(shè)備性能和壽命：被植入挖礦木馬的計(jì)算機(jī)壽命普遍較短，而且設(shè)備性能嚴(yán)重下降；浪費(fèi)能源，增大碳排放量：挖礦木馬挖礦會(huì)消耗大量的電，造成巨大的能源消耗，而現(xiàn)階段電能的主要來(lái)源是煤炭，加劇碳排放污染；

6.挖礦木馬怎么賺錢

留置后門，衍生僵尸網(wǎng)絡(luò)：挖礦木馬普遍具有添加SSH免密登錄后門、安裝RPC后門，接收遠(yuǎn)程IRC服務(wù)器指令、安裝Rootkit后門等；作為攻擊跳板，攻擊其他目標(biāo)：挖礦木馬可以控制受害者服務(wù)器進(jìn)行DDoS攻擊，以此服務(wù)器為跳板，攻擊其武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格他計(jì)算機(jī)，或者釋放勒索軟件索要贖金等。

7.挖礦木馬生成器下載

3.挖礦木馬家族的特征挖礦幣種：2021年大部分挖礦組織傾向于挖取門羅幣，主要有以下幾種原因：首先是門羅幣是無(wú)法追蹤的強(qiáng)匿名性貨幣；其次門羅幣的挖礦算法利用CPU的挖礦效率更高，一般僵尸網(wǎng)絡(luò)掌握的“肉雞”普遍不具備高性能，也就是沒(méi)有顯卡（即缺少高性能顯卡），所以為了獲取更多的挖礦收益，挖取門羅幣成為攻擊者首選；最后，在比特幣挖取難度日益增大的背景下，門羅幣在虛擬貨幣市場(chǎng)價(jià)格保持穩(wěn)定，相較于挖取比特幣，挖取門羅幣所帶來(lái)的價(jià)值更高，其對(duì)應(yīng)挖礦收益也更加穩(wěn)定。

8.開(kāi)源挖礦木馬

競(jìng)爭(zhēng)性：通過(guò)檢測(cè)并結(jié)束具有競(jìng)爭(zhēng)性的其它挖礦木馬的進(jìn)程，獨(dú)占目標(biāo)主機(jī)武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格的計(jì)算資源持久性：通過(guò)添加計(jì)劃任務(wù)、創(chuàng)建服務(wù)、設(shè)置自啟動(dòng)、RootKit等手段實(shí)現(xiàn)長(zhǎng)期駐留目標(biāo)系統(tǒng)隱蔽性和對(duì)抗性：通過(guò)進(jìn)程隱藏、命令替換、進(jìn)程互鎖等方式，實(shí)現(xiàn)對(duì)抗排查和處置。

9.挖礦木馬檢測(cè)

針對(duì)性：針對(duì)各云服務(wù)提供商在云主機(jī)上運(yùn)行的安全檢測(cè)程序，通過(guò)在腳本文件中添加能夠?qū)⑵浣Y(jié)束并卸載的惡意代碼，以此規(guī)避各云主機(jī)的安全檢測(cè)除此之外，部分挖礦木馬利用掃描工具對(duì)某一或多個(gè)云服務(wù)提供商的IP地址段進(jìn)行探測(cè)，如云鏟、H2Miner等。

10.挖礦木馬是什么東西

集成性：挖礦木馬除了具備核心的挖礦功能模塊，還集成有端口掃描、漏洞利用、后門等相關(guān)組件，實(shí)現(xiàn)橫向傳播、廣泛傳播、構(gòu)建僵尸網(wǎng)絡(luò)，如TeamTNT、Ou武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格tlaw等跨平臺(tái)性：通過(guò)Web組件漏洞利用，結(jié)合惡意的PowerShell、Shell等腳本，以及Python、Go語(yǔ)言編寫的惡意程序，實(shí)現(xiàn)跨平臺(tái)運(yùn)行挖礦木馬，如Sysrv-Hello、Satan DDoS等。

4.典型挖礦木馬家族的介紹4.1 OutlawOutlaw僵尸網(wǎng)絡(luò)首次被發(fā)現(xiàn)于2018年11月，當(dāng)時(shí)其還只是一個(gè)通過(guò)漏洞入侵IoT設(shè)備和Linux服務(wù)器并植入惡意程序組建僵尸網(wǎng)絡(luò)的組織，主要從事DDoS攻擊活動(dòng)，在暗網(wǎng)中提供DDoS出租服務(wù)。

在后續(xù)的發(fā)展過(guò)程中，受虛擬貨幣升值影響，也逐步開(kāi)始在僵尸網(wǎng)絡(luò)節(jié)點(diǎn)中植入挖礦木馬，并利用僵尸網(wǎng)絡(luò)對(duì)外進(jìn)行滲透并擴(kuò)張，獲得更為龐大的計(jì)算資源，旨在挖礦過(guò)武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格程中獲取更多的虛擬貨幣4.1.1家族概覽挖礦木馬家族Outlaw

出現(xiàn)時(shí)間2018年11月針對(duì)平臺(tái)Linux傳播方式漏洞利用、SSH暴力破解利用的漏洞Shellshock FlawDrupalgeddon2漏洞挖礦幣種門羅幣（XMR）4.1.2典型案例Outlaw凌晨突襲云主機(jī)

2021年7月28日凌晨，Outlaw僵尸網(wǎng)絡(luò)對(duì)大量云主機(jī)發(fā)起攻擊并植入僵尸網(wǎng)絡(luò)程序，被感染主機(jī)中存在大量SSH暴力破解記錄，且被植入挖礦程序、寫入SSH公鑰 4.2 Tor2MineTor2Mine挖礦組織從2018年開(kāi)始出現(xiàn)，以擅長(zhǎng)挖取加密貨幣和提供惡意軟件而聞名，該組織曾部署過(guò)其他惡意軟件，包括信息竊取惡意軟件AZO武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格Rult、遠(yuǎn)程訪問(wèn)工具Remcos、DarkVNC后門木馬和竊取剪貼板上的加密貨幣數(shù)據(jù)盜取更多錢。

Tor2Mine名字的由來(lái)是因?yàn)樵谀承┳兎N中使用了Tor網(wǎng)關(guān)與虛擬貨幣的C2服務(wù)器進(jìn)行通信，因此叫做Tor2Mine在2021年，Tor2Mine變得非常活躍，使用 PowerShell腳本嘗試禁用安全軟件、執(zhí)行挖礦程序并執(zhí)行Mimikatz遠(yuǎn)程腳本獲取Windows憑據(jù)以獲得管理權(quán)限。

使用這些竊取的憑據(jù)，Tor2Mine可以主動(dòng)傳播，如果沒(méi)有完全清除或者沒(méi)有安全軟件保護(hù)，它將繼續(xù)侵害受感染網(wǎng)絡(luò)上的其他系統(tǒng)4.2.1家族概覽挖礦木馬家族Tor2Mine出現(xiàn)時(shí)間2018年 12月針對(duì)平臺(tái)

Window武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格s傳播方式漏洞利用利用的漏洞未知挖礦幣種門羅幣（XMR）4.2.2典型活動(dòng)研究人員發(fā)現(xiàn)Tor2Mine挖礦組織使用新變種開(kāi)始傳播2021年12月，研究人員發(fā)現(xiàn)Tor2Mine使用新變種開(kāi)始傳播，Tor2Mine使用 PowerShell腳本嘗試禁用安全軟件、執(zhí)行挖礦程序并獲取Windows憑據(jù)。

使用這些竊取的憑據(jù)，Tor2Mine 可以主動(dòng)傳播，如果沒(méi)有完全清除或者沒(méi)有安全軟件保護(hù)，它將繼續(xù)侵害受感染網(wǎng)絡(luò)上的其他系統(tǒng)4.3 TeamTNTTeamTNT是一個(gè)針對(duì)云主機(jī)和容器化環(huán)境進(jìn)行攻擊的網(wǎng)絡(luò)威脅組織，該組織最早出現(xiàn)于2019年10月，入侵目標(biāo)系統(tǒng)后植入挖礦木馬和僵尸網(wǎng)絡(luò)程序，利用目標(biāo)系統(tǒng)資源武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格進(jìn)行挖礦并組建僵尸網(wǎng)絡(luò)。

經(jīng)過(guò)近幾年發(fā)展，該組織控制的僵尸網(wǎng)絡(luò)規(guī)模龐大，所使用的攻擊組件更新頻繁；該組織引起網(wǎng)絡(luò)安全防御方的持續(xù)關(guān)注和跟蹤，對(duì)其攻擊活動(dòng)給予多次披露4.3.1 家族概覽挖礦木馬家族TeamTNT出現(xiàn)時(shí)間2019年10月

針對(duì)平臺(tái)Windows、Linux傳播方式漏洞利用、憑證竊取利用的漏洞Docker Remote API未授權(quán)訪問(wèn)漏洞挖礦幣種門羅幣（XMR）4.3.2 典型案例TeamTNT對(duì)Kubernetes平臺(tái)發(fā)起攻擊，近50000個(gè)IP遭受攻擊

TeamTNT利用Kubernetes平臺(tái)暴露的API接口，寫入并執(zhí)行惡意腳本，安裝門羅幣挖礦程序，部署網(wǎng)絡(luò)掃描工具masscan武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格和banner探測(cè)工具Zgrab，后續(xù)下載并安裝IRC Bot經(jīng)研究人員監(jiān)測(cè)發(fā)現(xiàn)，本次攻擊活動(dòng)時(shí)間在2021年3月至5月間，涉及50000個(gè)目標(biāo)IP地址，其中，中國(guó)和美國(guó)的IP地址命中率最高。

4.4 H2MinerH2Miner挖礦木馬最早出現(xiàn)于2019年12月，爆發(fā)初期及此后一段時(shí)間該挖礦木馬都是針對(duì)Linux平臺(tái)，直到2020年11月后，開(kāi)始利用WebLogic漏洞針對(duì)Windows平臺(tái)進(jìn)行入侵并植入對(duì)應(yīng)挖礦程序。

此外，該挖礦木馬頻繁利用其他常見(jiàn)Web組件漏洞，入侵相關(guān)服務(wù)器并植入挖礦程序例如，2021年12月，攻擊者利用Log4j漏洞實(shí)施了H2Miner挖礦木馬的投放4.4.1 家族概覽武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格挖礦木馬家族H2Miner

出現(xiàn)時(shí)間2019年12月針對(duì)平臺(tái)Windows、Linux傳播方式漏洞利用利用的漏洞SaltStack RCE(CVE-2020-11651)ThinkPHP5 RCEApache Solr’s DataImportHandler (CVE-2019-0193)

Redis未授權(quán)RCEConfluence 未授權(quán)RCE(CVE-2019-3396)WebLogic RCE 漏洞(CVE-2020-14882/14883)Log4j漏洞(CVE-2021-44228)

挖礦幣種門羅幣（XMR）4.4.2 典型案例2021年春節(jié)期間H2Miner挖礦團(tuán)伙利用多個(gè)漏洞武器攻擊云武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格上主機(jī)2021年春節(jié)期間，H2Miner挖礦團(tuán)伙趁春節(jié)假期安全運(yùn)維相對(duì)薄弱，利用多個(gè)漏洞武器攻擊我國(guó)云上主機(jī)，并利用失陷主機(jī)實(shí)施挖礦，大量消耗受害主機(jī)CPU資源，嚴(yán)重影響了相關(guān)主機(jī)正常服務(wù)運(yùn)行。

4.5 Satan DDoSSatan DDoS是一個(gè)具備DDoS和投放挖礦程序的僵尸網(wǎng)絡(luò)，惡意軟件的作者將他們的惡意軟件稱之為“Satan DDoS”，為了區(qū)別于Satan勒索軟件，Unit42研究人員將其稱為“Lucifer”。

該僵尸網(wǎng)絡(luò)最早出現(xiàn)時(shí)間是在2020年5月29日，初期利用CVE-2019-9081漏洞入侵具備Laravel Framework 5.7.x版本組件的服務(wù)器，植入挖礦程序和僵武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格尸網(wǎng)絡(luò)程序，實(shí)現(xiàn)僵尸網(wǎng)絡(luò)的組建，形成龐大的挖礦和對(duì)外DDoS攻擊的能力。

在后期，該僵尸網(wǎng)絡(luò)該利用多個(gè)漏洞和暴力破解傳播挖礦程序和擴(kuò)展僵尸網(wǎng)絡(luò)4.5.1 家族概覽挖礦木馬家族Satan DDoS，又名Lucifer出現(xiàn)時(shí)間2020年5月29日針對(duì)平臺(tái)Windows、Linux

傳播方式漏洞利用和暴力破解利用的漏洞CVE-2014-6287CVE-2018-1000861CVE-2017-10271ThinkPHP RCE漏洞（CVE-2018-20062） CVE-2018-7600

CVE-2017-9791CVE-2019-9081PHPStudy Backdoor RCECVE-2017-01武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格44CVE-2017-0145和 CVE-2017-8464挖礦幣種門羅幣（XMR）4.5.2 典型活動(dòng)

爆發(fā)初期使用CVE-2019-9081漏洞傳播2020年5月29日，Unit 42研究人員從大量CVE-2019-9081漏洞利用事件中，發(fā)現(xiàn)一個(gè)具備挖礦功能和DDoS攻擊的惡意樣本，研究人員監(jiān)測(cè)到此次惡意樣本傳播活動(dòng)于2020年6月10日停止。

針對(duì)云主機(jī)的攻擊活動(dòng)2021年6月，Satan DDoS僵尸網(wǎng)絡(luò)利用Shiro1.2.4反序列化漏洞對(duì)云主機(jī)發(fā)起的攻擊活動(dòng)，新增了針對(duì)Linux服務(wù)器的攻擊能力，意圖傳播自身，擴(kuò)展僵尸網(wǎng)絡(luò)，提升DDoS攻擊和大規(guī)模挖礦能力。

4.6 Sysrv-hel武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格loSysrv-hello挖礦木馬最早被發(fā)現(xiàn)于2020年12月3日，初始樣本感染大量服務(wù)器，經(jīng)變種傳播，一直持續(xù)至今該挖礦木馬具備多種功能，如端口掃描功能，Linux網(wǎng)關(guān)探測(cè)功能，WebLogic、Tomcat、MySQL等應(yīng)用的RCE漏洞利用功能，植入挖礦木馬功能。

4.6.1 家族概覽挖礦木馬家族Sysrv-hello出現(xiàn)時(shí)間2020年12月3日針對(duì)平臺(tái)Windows、Linux傳播方式漏洞利用利用的漏洞Mongo Express RCE (CVE-2019-10758)

XXL-JOB Unauth RCEXML-RPC (CVE-2017-11610)Saltstack RCE（ CVE-武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格2020-16846）ThinkPHP RCEDrupal Ajax RCE（CVE-2018-7600）

挖礦幣種門羅幣（XMR）4.6.2 典型案例Sysrv-hello新增傳播能力，通過(guò)感染網(wǎng)頁(yè)傳播挖礦程序Sysrv-hello新變種于2021年4月20日開(kāi)始傳播，經(jīng)分析確認(rèn)，新變種能夠在目標(biāo)系統(tǒng)上檢查是否存在相關(guān)網(wǎng)頁(yè)文件或網(wǎng)站目錄，以此判定系統(tǒng)是否提供Web服務(wù)。

若目標(biāo)系統(tǒng)提供Web服務(wù)，則將挖礦木馬移動(dòng)至對(duì)應(yīng)路徑中，并修改其中的網(wǎng)頁(yè)文件，實(shí)現(xiàn)用戶訪問(wèn)該網(wǎng)頁(yè)時(shí)下載并執(zhí)行該挖礦木馬，進(jìn)一步擴(kuò)展挖礦木馬傳播范圍4.7 云鏟2021年2月，安天CERT在網(wǎng)絡(luò)安全監(jiān)測(cè)中發(fā)現(xiàn)一起針對(duì)Linux系統(tǒng)武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格挖礦木馬事件。

經(jīng)分析研判，該挖礦木馬自身中硬編碼了一段某云平臺(tái)網(wǎng)段IP地址，并對(duì)該網(wǎng)段IP地址進(jìn)行22端口彈出和暴力破解，基于其攻擊特性，安天CERT將該挖礦木馬命名為“云鏟”4.7.1家族概覽挖礦木馬家族云鏟出現(xiàn)時(shí)間

2021年針對(duì)平臺(tái)Linux傳播方式暴力破解利用的漏洞無(wú)挖礦幣種門羅幣（XMR）4.8 HolesWarmHolesWarm是一個(gè)跨平臺(tái)的蠕蟲(chóng)病毒，最早爆發(fā)于2021年6月，在一個(gè)月時(shí)間內(nèi)使用了20多種漏洞對(duì)目標(biāo)系統(tǒng)進(jìn)行漏洞利用并植入挖礦木馬。

該蠕蟲(chóng)病毒使用的漏洞覆蓋的組件和應(yīng)用較多，這些組件和應(yīng)用在國(guó)內(nèi)使用頻繁如用友，致遠(yuǎn)等OA辦公軟件和Tomcat、WebLogic、Shir武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格o、Structs 2等組件4.8.1 家族概覽挖礦木馬家族HolesWarm

出現(xiàn)時(shí)間2021年6月針對(duì)平臺(tái)Windows、Linux傳播方式漏洞利用利用的漏洞Hadoop Yarn 未授權(quán)命令執(zhí)行漏洞用友GRP-U8 注入-命令執(zhí)行漏洞Struts 2 RCE命令執(zhí)行漏洞XXL-JOB未授權(quán)添加任務(wù)命令執(zhí)行漏洞

挖礦幣種門羅幣（XMR）4.8.2 典型案例挖礦木馬中的漏洞利用之王2021年6月上旬以來(lái)，在近一個(gè)月時(shí)間內(nèi)，一個(gè)蠕蟲(chóng)病毒迅速傳播擴(kuò)散并植入挖礦木馬在此期間利用漏洞多達(dá)20余種，漏洞利用的對(duì)應(yīng)軟件包括用友、致遠(yuǎn)等OA辦公軟件，及其它Tomcat、WebLogic、Structs 2、S武漢房產(chǎn)網(wǎng)最新樓盤價(jià)格pring等組件，以至于被業(yè)界稱之為“漏洞利用之王”，該挖礦木馬同時(shí)也被命名為“HolesWarm”。