1. 概述

挖礦木馬是透過各種手段將挖礦程式植入受害者的計算機中，在使用者不知情的情況下，利用受害者計算機的運算力進行挖礦，從而獲取非法收益。目前有多個威脅組織（例如H2Miner）傳播挖礦木馬，致使使用者系統資源被惡意佔用和消耗、硬體壽命被縮短，嚴重影響使用者生產生活，阻礙社會發展。2021年，安天CERT釋出了多篇針對挖礦木馬的分析報告，現將2021年典型的挖礦木馬進行了梳理，形成家族概覽，進行分享。

挖礦木馬家族	出現時間	針對平臺
Outlaw	2018年11月	Linux
Tor2Mine	2018年12月	Windows
H2Miner	2019年12月	Windows、Linux
Satan DDoS	2020年5月	Windows、Linux
Sysrv-hello	2020年12月	Windows、Linux
雲鏟	2021年2月	Linux
HolesWarm	2021年6月	Windows、Linux

2.挖礦木馬的危害

1. 大量消耗計算機資源：挖礦木馬普遍消耗大量系統資源，使系統及其服務、應用軟體執行緩慢，甚至可能使正常服務崩潰，造成資料丟失；
2. 降低計算機裝置效能和壽命：被植入挖礦木馬的計算機壽命普遍較短，而且裝置效能嚴重下降；
3. 浪費能源，增大碳排放量：挖礦木馬挖礦會消耗大量的電，造成巨大的能源消耗，而現階段電能的主要來源是煤炭，加劇碳排放汙染；
4. 留置後門，衍生殭屍網路：挖礦木馬普遍具有新增SSH免密登入後門、安裝RPC後門，接收遠端IRC伺服器指令、安裝Rootkit後門等；
5. 作為攻擊跳板，攻擊其他目標：挖礦木馬可以控制受害者伺服器進行DDoS攻擊，以此伺服器為跳板，攻擊其他計算機，或者釋放勒索軟體索要贖金等。

3.挖礦木馬家族的特徵

• 挖礦幣種：2021年大部分挖礦組織傾向於挖取門羅幣，主要有以下幾種原因：首先是門羅幣是無法追蹤的強匿名性貨幣；其次門羅幣的挖礦演算法利用CPU的挖礦效率更高，一般殭屍網路掌握的“肉雞”普遍不具備高效能，也就是沒有顯示卡（即缺少高效能顯示卡），所以為了獲取更多的挖礦收益，挖取門羅幣成為攻擊者首選；最後，在比特幣挖取難度日益增大的背景下，門羅幣在虛擬貨幣市場價格保持穩定，相較於挖取比特幣，挖取門羅幣所帶來的價值更高，其對應挖礦收益也更加穩定。
• 競爭性：透過檢測並結束具有競爭性的其它挖礦木馬的程式，獨佔目標主機的計算資源。
• 永續性：透過新增計劃任務、建立服務、設定自啟動、RootKit等手段實現長期駐留目標系統。
• 隱蔽性和對抗性：透過程式隱藏、命令替換、程式互鎖等方式，實現對抗排查和處置。
• 針對性：針對各雲服務提供商在雲主機上執行的安全檢測程式，透過在指令碼檔案中新增能夠將其結束並解除安裝的惡意程式碼，以此規避各雲主機的安全檢測。除此之外，部分挖礦木馬利用掃描工具對某一或多個雲服務提供商的IP地址段進行探測，如雲鏟、H2Miner等。
• 整合性：挖礦木馬除了具備核心的挖礦功能模組，還整合有埠掃描、漏洞利用、後門等相關元件，實現橫向傳播、廣泛傳播、構建殭屍網路，如Outlaw。
• 跨平臺性：透過Web元件漏洞利用，結合惡意的PowerShell、Shell等指令碼，以及Python、Go語言編寫的惡意程式，實現跨平臺執行挖礦木馬，如Sysrv-Hello、Satan DDoS等。

4.典型挖礦木馬家族的介紹

4.1 Outlaw

Outlaw殭屍網路首次被發現於2018年11月，當時其還只是一個透過漏洞入侵IoT裝置和Linux伺服器並植入惡意程式組建殭屍網路的組織，主要從事DDoS攻擊活動，在暗網中提供DDoS出租服務。在後續的發展過程中，受虛擬貨幣升值影響，也逐步開始在殭屍網路節點中植入挖礦木馬，並利用殭屍網路對外進行滲透並擴張，獲得更為龐大的計算資源，旨在挖礦過程中獲取更多的虛擬貨幣。

4.1.1  家族概覽

挖礦木馬家族	Outlaw
出現時間	2018年11月
針對平臺	Linux
傳播方式	漏洞利用、SSH暴力破解
利用的漏洞	Shellshock Flaw Drupalgeddon2漏洞
挖礦幣種	門羅幣（XMR）

4.1.2 典型案例

• Outlaw凌晨突襲雲主機

2021年7月28日凌晨，Outlaw殭屍網路對大量雲主機發起攻擊並植入殭屍網路程式，被感染主機中存在大量SSH暴力破解記錄，且被植入挖礦程式、寫入SSH公鑰。

4.2 Tor2Mine

Tor2Mine挖礦組織從2018年開始出現，以擅長挖取加密貨幣和提供惡意軟體而聞名，該組織曾部署過其他惡意軟體，包括資訊竊取惡意軟體AZORult、遠端訪問工具Remcos、DarkVNC後門木馬和竊取剪貼簿上的加密貨幣資料盜取更多錢。Tor2Mine名字的由來是因為在某些變種中使用了Tor閘道器與虛擬貨幣的C2伺服器進行通訊，因此叫做Tor2Mine。在2021年，Tor2Mine變得非常活躍，使用 PowerShell指令碼嘗試禁用安全軟體、執行挖礦程式並執行Mimikatz遠端指令碼獲取Windows憑據以獲得管理許可權。使用這些竊取的憑據，Tor2Mine可以主動傳播，如果沒有完全清除或者沒有安全軟體保護，它將繼續侵害受感染網路上的其他系統。

4.2.1 家族概覽

挖礦木馬家族	Tor2Mine
出現時間	2018年 12月
針對平臺	Windows
傳播方式	漏洞利用
利用的漏洞	未知
挖礦幣種	門羅幣（XMR）

4.2.2 典型活動

• 研究人員發現Tor2Mine挖礦組織使用新變種開始傳播

2021年12月，研究人員發現Tor2Mine使用新變種開始傳播，Tor2Mine使用 PowerShell指令碼嘗試禁用安全軟體、執行挖礦程式並獲取Windows憑據。使用這些竊取的憑據，Tor2Mine 可以主動傳播，如果沒有完全清除或者沒有安全軟體保護，它將繼續侵害受感染網路上的其他系統。

4.3 H2Miner

H2Miner挖礦木馬最早出現於2019年12月，爆發初期及此後一段時間該挖礦木馬都是針對Linux平臺，直到2020年11月後，開始利用WebLogic漏洞針對Windows平臺進行入侵併植入對應挖礦程式。此外，該挖礦木馬頻繁利用其他常見Web元件漏洞，入侵相關伺服器並植入挖礦程式。例如，2021年12月，攻擊者利用Log4j漏洞實施了H2Miner挖礦木馬的投放。

4.3.1 家族概覽

挖礦木馬家族	H2Miner
出現時間	2019年12月
針對平臺	Windows、Linux
傳播方式	漏洞利用
利用的漏洞	SaltStack RCE(CVE-2020-11651) ThinkPHP5 RCE Apache Solr’s DataImportHandler (CVE-2019-0193) Redis未授權RCE Confluence 未授權RCE(CVE-2019-3396) WebLogic RCE 漏洞(CVE-2020-14882/14883) Log4j漏洞(CVE-2021-44228)
挖礦幣種	門羅幣（XMR）

4.3.2 典型案例

• 2021年春節期間H2Miner挖礦團伙利用多個漏洞武器攻擊雲上主機

2021年春節期間，H2Miner挖礦團伙趁春節假期安全運維相對薄弱，利用多個漏洞武器攻擊我國雲上主機，並利用失陷主機實施挖礦，大量消耗受害主機CPU資源，嚴重影響了相關主機正常服務執行。

4.4 Satan DDoS

Satan DDoS是一個具備DDoS和投放挖礦程式的殭屍網路，惡意軟體的作者將他們的惡意軟體稱之為“Satan DDoS”，為了區別於Satan勒索軟體，Unit42研究人員將其稱為“Lucifer”。該殭屍網路最早出現時間是在2020年5月29日，初期利用CVE-2019-9081漏洞入侵具備Laravel Framework 5.7.x版本元件的伺服器，植入挖礦程式和殭屍網路程式，實現殭屍網路的組建，形成龐大的挖礦和對外DDoS攻擊的能力。在後期，該殭屍網路該利用多個漏洞和暴力破解傳播挖礦程式和擴充套件殭屍網路。

4.4.1 家族概覽

挖礦木馬家族	Satan DDoS，又名Lucifer
出現時間	2020年5月29日
針對平臺	Windows、Linux
傳播方式	漏洞利用和暴力破解
利用的漏洞	CVE-2014-6287 CVE-2018-1000861 CVE-2017-10271 ThinkPHP RCE漏洞（CVE-2018-20062）  CVE-2018-7600 CVE-2017-9791 CVE-2019-9081 PHPStudy Backdoor RCE CVE-2017-0144 CVE-2017-0145和 CVE-2017-8464
挖礦幣種	門羅幣（XMR）

4.4.2 典型活動

• 爆發初期使用CVE-2019-9081漏洞傳播

2020年5月29日，Unit 42研究人員從大量CVE-2019-9081漏洞利用事件中，發現一個具備挖礦功能和DDoS攻擊的惡意樣本，研究人員監測到此次惡意樣本傳播活動於2020年6月10日停止。

• 針對雲主機的攻擊活動

2021年6月，Satan DDoS殭屍網路利用Shiro1.2.4反序列化漏洞對雲主機發起的攻擊活動，新增了針對Linux伺服器的攻擊能力，意圖傳播自身，擴充套件殭屍網路，提升DDoS攻擊和大規模挖礦能力。

4.5 Sysrv-hello

Sysrv-hello挖礦木馬最早被發現於2020年12月3日，初始樣本感染大量伺服器，經變種傳播，一直持續至今。該挖礦木馬具備多種功能，如埠掃描功能，Linux閘道器探測功能，WebLogic、Tomcat、MySQL等應用的RCE漏洞利用功能，植入挖礦木馬功能。

4.5.1 家族概覽

挖礦木馬家族	Sysrv-hello
出現時間	2020年12月3日
針對平臺	Windows、Linux
傳播方式	漏洞利用
利用的漏洞	Mongo Express RCE (CVE-2019-10758) XXL-JOB Unauth RCE XML-RPC (CVE-2017-11610) Saltstack RCE（ CVE-2020-16846） ThinkPHP RCE Drupal Ajax RCE（CVE-2018-7600）
挖礦幣種	門羅幣（XMR）

4.5.2 典型案例

• Sysrv-hello新增傳播能力，透過感染網頁傳播挖礦程式

Sysrv-hello新變種於2021年4月20日開始傳播，經分析確認，新變種能夠在目標系統上檢查是否存在相關網頁檔案或網站目錄，以此判定系統是否提供Web服務。若目標系統提供Web服務，則將挖礦木馬移動至對應路徑中，並修改其中的網頁檔案，實現使用者訪問該網頁時下載並執行該挖礦木馬，進一步擴充套件挖礦木馬傳播範圍。

4.6 雲鏟

2021年2月，安天CERT在網路安全監測中發現一起針對Linux系統挖礦木馬事件。經分析研判，該挖礦木馬自身中硬編碼了一段某雲平臺網段IP地址，並對該網段IP地址進行22埠彈出和暴力破解，基於其攻擊特性，安天CERT將該挖礦木馬命名為“雲鏟”。

4.6.1 家族概覽

挖礦木馬家族	雲鏟
出現時間	2021年
針對平臺	Linux
傳播方式	暴力破解
利用的漏洞	無
挖礦幣種	門羅幣（XMR）

4.7 HolesWarm

HolesWarm是一個跨平臺的蠕蟲病毒，最早爆發於2021年6月，在一個月時間內使用了20多種漏洞對目標系統進行漏洞利用並植入挖礦木馬。該蠕蟲病毒使用的漏洞覆蓋的元件和應用較多，這些元件和應用在國內使用頻繁。如用友，致遠等OA辦公軟體和Tomcat、WebLogic、Shiro、Structs 2等元件。

4.7.1  家族概覽

挖礦木馬家族	HolesWarm
出現時間	2021年6月
針對平臺	Windows、Linux
傳播方式	漏洞利用
利用的漏洞	Hadoop Yarn 未授權命令執行漏洞 用友GRP-U8 注入-命令執行漏洞 Struts 2 RCE命令執行漏洞 XXL-JOB未授權新增任務命令執行漏洞
挖礦幣種	門羅幣（XMR）

4.7.2 典型案例

• 挖礦木馬中的漏洞利用之王

2021年6月上旬以來，在近一個月時間內，一個蠕蟲病毒迅速傳播擴散並植入挖礦木馬。在此期間利用漏洞多達20餘種，漏洞利用的對應軟體包括用友、致遠等OA辦公軟體，及其它Tomcat、WebLogic、Structs 2、Spring等元件，以至於被業界稱之為“漏洞利用之王”，該挖礦木馬同時也被命名為“HolesWarm”。