提到挖礦木馬時，一部分人一臉困惑：“挖礦不用挖機(jī)？木馬怎么挖？”。老實(shí)說，遇到這種，小編也是無言以對。

另有人知道挖礦木馬是什么，但他很不屑：“不就是系統(tǒng)卡一點(diǎn)慢一點(diǎn)嘛，啥破壞都沒有，用不著大驚小怪吧。”小編說，“這位童鞋，你大錯特錯了，警惕性已低于及格線，得回爐修煉一下。”

挖礦木馬不是所謂“良性”病毒，除了影響系統(tǒng)運(yùn)行速度，讓資源占用率飆升，挖礦木馬還會普遍留置后門，中了挖礦木馬，企業(yè)機(jī)密信息就岌岌可危了。今天這篇文章讓大家詳細(xì)了解下挖礦木馬。

比特幣、山寨幣與挖礦木馬

比特幣是以區(qū)塊鏈技術(shù)為基礎(chǔ)的虛擬加密貨幣，比特幣具有匿名性和難以追蹤的特點(diǎn)，經(jīng)過十余年的發(fā)展，已成為網(wǎng)絡(luò)黑產(chǎn)最愛使用的交易媒介。大多數(shù)勒索病毒在加密受害者數(shù)據(jù)后，會勒索代價高昂的比特幣。比特幣在2021年曾達(dá)到1枚6.4萬美元的天價，比特幣的獲得需要高性能計算機(jī)（又稱礦機(jī)，一般配置頂級CPU和GPU）按特定算法計算，計算的過程被形象的稱為“挖礦”。

礦機(jī)價格昂貴，為生產(chǎn)比特幣，有人不惜重金購置大量礦機(jī)組成網(wǎng)絡(luò)集群挖礦。挖礦又非常耗電，因此礦場往往會尋找偏僻地區(qū)的小水電、小火電而建，因?yàn)殡娰M(fèi)便宜，有人為節(jié)約成本偷電挖礦。

當(dāng)數(shù)字加密幣市值暴漲時，挖礦業(yè)務(wù)會水漲船高，高端CPU、GPU、高端顯卡、大容量硬盤被炒上天價還賣斷貨。目前，我國政府宣布要實(shí)現(xiàn)碳達(dá)峰碳中和的目標(biāo)，嚴(yán)重耗能的虛擬加密幣相關(guān)生產(chǎn)、交易被認(rèn)定為非法，我國境內(nèi)所有（生產(chǎn)加密貨幣的）礦場必須關(guān)閉。

因挖礦需要大量財力投入，從一開始，就有人想到利用木馬控制他人的計算機(jī)組建僵尸網(wǎng)絡(luò)集群挖礦的辦法，這就是所謂“挖礦木馬”。因比特幣的獲得（挖礦）難度越來越大，誕生了模仿比特幣的其他山寨加密幣，比如門羅幣、萊特幣、還有馬斯克超喜歡的狗狗幣等等。其中挖礦木馬最愛門羅幣（XMR），自誕生以來，門羅幣市值不斷上升，目前已超過10億美元。

嚴(yán)重低估的挖礦木馬危害

新基建推動企業(yè)全面數(shù)字化，越來越多的政企機(jī)構(gòu)將業(yè)務(wù)上云，公共服務(wù)、生產(chǎn)生活各方面效率由此快速提高，人人成為數(shù)字化的受益者。與此同時，數(shù)字化轉(zhuǎn)型過程中出現(xiàn)新的安全風(fēng)險，比如信息泄露幾乎影響每一個人。人們對數(shù)字化系統(tǒng)的依賴，對系統(tǒng)穩(wěn)定運(yùn)行有極高的要求。如果業(yè)務(wù)服務(wù)因故中斷，會給社會功能正常運(yùn)轉(zhuǎn)帶來很多麻煩。

挖礦木馬攻擊，就是發(fā)生率較高，極可能造成業(yè)務(wù)系統(tǒng)中斷的一類威脅，是最常見的網(wǎng)絡(luò)攻擊。根據(jù)騰訊安全團(tuán)隊(duì)最新檢測結(jié)果，在公有云的攻擊事件當(dāng)中，以挖礦為目的的入侵占比54.9%，已超過一半，騰訊云在過去30天累計檢測到挖礦木馬攻擊事件超過6000起。有境外科技媒體報道，挖礦木馬攻擊在所有安全事件中超過25%。

黑客通過各種技術(shù)手段傳播擴(kuò)散挖礦木馬，木馬控制的計算機(jī)越多，木馬生存時間越長，獲得的挖礦收益也就越多。挖礦木馬最明顯的影響是大量消耗系統(tǒng)資源，使系統(tǒng)其他軟件或服務(wù)運(yùn)行緩慢，性能變差。云主機(jī)若被挖礦木馬入侵，正常服務(wù)可能因性能變差而速度變慢，甚至服務(wù)崩潰中斷，管理員通過top -c命令查看系統(tǒng)進(jìn)程，會發(fā)現(xiàn)CPU占用超高。

挖礦木馬為實(shí)現(xiàn)長期駐留隱蔽挖礦的目標(biāo)，會采用很多技巧。騰訊安全專家分析發(fā)現(xiàn)，有挖礦木馬會設(shè)置一個占用系統(tǒng)資源的上限，比如不超過80%。部分挖礦木馬設(shè)計了檢測系統(tǒng)工具運(yùn)行的能力，當(dāng)檢測到進(jìn)程管理器啟動時，挖礦進(jìn)程馬上停止。或只在電腦黑屏?xí)r挖礦，有人操作電腦時退出等等。還有其他一些復(fù)雜的技巧，包括隱藏進(jìn)程，或替換、偽裝系統(tǒng)進(jìn)程，欺騙管理員排查等。

很多人認(rèn)為挖礦木馬只不過讓系統(tǒng)變慢，消耗系統(tǒng)資源，不會有破壞性后果。這種看法嚴(yán)重低估了挖礦木馬的危害，挖礦木馬的影響遠(yuǎn)不止這些。

騰訊安全團(tuán)隊(duì)日常運(yùn)營中分析了大量挖礦木馬家族，除了大量消耗受害者主機(jī)計算機(jī)資源，干擾正常業(yè)務(wù)運(yùn)行。挖礦木馬普遍具備以下行為：

添加SSH免密登錄后門

添加具備管理員權(quán)限的帳戶

安裝IRC后門，接受遠(yuǎn)程IRC服務(wù)器的指令

支持替換多個系統(tǒng)工具：ps、top、pstree等

安裝Rootkit后門

關(guān)閉Linux/Windows防火墻

關(guān)閉Windows Defender

卸載云主機(jī)安全防護(hù)軟件

添加定時任務(wù)、添加啟動項(xiàng)

清除系統(tǒng)日志

以上這些行為會嚴(yán)重威脅服務(wù)器安全，挖礦木馬控制者隨時可能竊取服務(wù)器機(jī)密信息，控制服務(wù)器進(jìn)行DDoS攻擊，或以失陷服務(wù)器為跳板攻擊其他計算機(jī)，甚至可以在任何時候釋放勒索病毒徹底癱瘓服務(wù)器。關(guān)閉、卸載防火墻和主機(jī)安全軟件的行為，會讓受害主機(jī)安全防護(hù)能力消失，導(dǎo)致服務(wù)器被其他黑產(chǎn)團(tuán)伙入侵控制的可能性倍增。

挖礦木馬的目標(biāo)除了云主機(jī)，還有一類數(shù)量分布極廣的設(shè)備：IoT智能設(shè)備，包括智能路由器、網(wǎng)絡(luò)攝像頭等等。這類設(shè)備性能雖差，但數(shù)量龐大，因此被部分挖礦木馬傳播者所利用。

IoT設(shè)備制造商較多使用開源系統(tǒng)，自身安全能力相對不足，所用組件的高危漏洞修復(fù)困難。同時，使用這類設(shè)備用戶也往往對安全風(fēng)險考慮不多，積極主動修復(fù)漏洞的較少。導(dǎo)致大量IoT設(shè)備因漏洞被入侵持續(xù)控制，直至用戶淘汰舊設(shè)備更換新設(shè)備。被控制的IoT設(shè)備，除了用于挖礦，也被用來搜集隱私信息、通過DDoS攻擊來非法獲利。

挖礦木馬入侵通道

利用漏洞武器和弱密碼爆破攻擊，是挖礦木馬攻擊傳播最常用的兩類方法。供應(yīng)鏈攻擊的案例也時有發(fā)生，雖說案例較少，但具備影響面大的特點(diǎn)。

騰訊安全團(tuán)隊(duì)日常分析大量挖礦木馬家族，不少挖礦木馬十分勤奮，特別擅長利用流行漏洞攻擊武器入侵。當(dāng)一個利用難度較低適用面廣的高危漏洞出現(xiàn)時，會發(fā)現(xiàn)一群挖礦木馬團(tuán)伙如發(fā)現(xiàn)金礦一般火速（通常從漏洞公開到漏洞利用，就幾天）蜂涌而至。

今年8月25日，Atlassian官方披露Atlassian Confluence遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-26084)，攻擊者利用漏洞可以完全控制服務(wù)器完成任務(wù)。9月1日，漏洞poc（概念驗(yàn)證代碼）被公開在Github。當(dāng)晚，騰訊安全團(tuán)隊(duì)就檢測到多個不同挖礦木馬團(tuán)伙、僵尸網(wǎng)絡(luò)團(tuán)伙利用該漏洞攻擊云主機(jī)。到第2天，發(fā)現(xiàn)利用該漏洞攻擊的黑產(chǎn)團(tuán)伙增加到7個，其中5個為挖礦木馬家族：kwroksminer，iduckminer，h2miner，8220Miner，z0miner?？梢姡诘V木馬團(tuán)伙有多瘋狂多勤奮。

同樣，一個挖礦木馬團(tuán)伙也可能利用多個不同的漏洞武器組合。騰訊安全曾截獲跨平臺蠕蟲HolesWarm，該蠕蟲利用了20多種漏洞武器攻擊Windows、Linux主機(jī)挖礦。

網(wǎng)絡(luò)服務(wù)的弱口令配置也是挖礦木馬入侵的重要通道，不少挖礦木馬會攜帶或下載弱密碼字典進(jìn)行爆破攻擊。

騰訊安全研究人員將常見挖礦木馬攻擊事件對應(yīng)到ATT&CK映射圖譜，以描述此類威脅的技術(shù)特點(diǎn)：

本期內(nèi)容，我們討論了挖礦木馬的慣用手法和危害，了解到挖礦木馬最大的危害除了可能導(dǎo)致系統(tǒng)服務(wù)中斷或崩潰，還可能導(dǎo)致被黑客控制之后發(fā)生信息泄露事件。接下來會用多個章節(jié)來介紹騰訊安全如何采取措施高效檢測和清除挖礦木馬。