挖礦木馬就是讓系統卡一點慢一點，是“良性”病毒。同學，你大錯特錯了

提到挖礦木馬時，一部分人一臉困惑：“挖礦不用挖機？木馬怎麼挖？”。老實說，遇到這種，小編也無言以對。

另有人知道挖礦木馬是什麼，但他很不屑：“不就是系統卡一點慢一點麼，啥破壞都沒有，用不著大驚小怪吧。”小編說，“這位童鞋，你大錯特錯了，警惕性已低於及格線，得趕緊回爐修煉一下。”

挖礦木馬不是所謂“良性”病毒，除了影響系統執行速度，讓資源佔用率飆升，挖礦木馬還會普遍留置後門，中了挖礦木馬，企業機密資訊就岌岌可危了。今天這篇文章讓大家詳細瞭解下挖礦木馬並不簡單。

比特幣、山寨幣與挖礦木馬

比特幣是以區塊鏈技術為基礎的虛擬加密貨幣，比特幣具有匿名性和難以追蹤的特點，經過十餘年的發展，已成為網路黑產最愛使用的交易媒介。大多數勒索病毒在加密受害者資料後，會勒索代價高昂的比特幣。比特幣在2021年曾達到1枚6.4萬美元的天價，比特幣的獲得需要高效能運算機（又稱礦機，一般配置頂級CPU和GPU）按特定演算法計算，計算的過程被形象的稱為“挖礦”。

圖1

礦機價格昂貴，為生產比特幣，有人不惜重金購置大量礦機組成網路叢集挖礦。挖礦又非常耗電，因此礦場往往會尋找偏僻地區的小水電、小火電而建，因為電費便宜，甚至有經營礦場的人偷電挖礦。當數字加密幣市值暴漲時，挖礦業務會水漲船高，高階CPU、GPU、高階顯示卡、大容量硬碟被炒上天價還賣斷貨。目前，我國政府宣佈要實現碳達峰碳中和的目標，嚴重耗能的虛擬加密幣相關生產、交易被認定為非法，我國境內所有（以生產加密貨幣）礦場必須關閉。

因挖礦需要大量財力投入，從一開始，就有人想到利用木馬控制他人的計算機組建殭屍網路叢集挖礦的辦法，這就是所謂“挖礦木馬”。因比特幣的獲得（挖礦）難度越來越大，誕生了模仿比特幣的其他山寨加密幣，比如門羅幣、萊特幣、還有馬斯克超喜歡的狗狗幣等等。其中挖礦木馬最愛門羅幣（XMR），自誕生以來，門羅幣市值不斷上升，目前已超過10億美元。

圖2

被嚴重低估的挖礦木馬危害

新基建推動企業全面數字化，越來越多的政企機構將業務上雲，公共服務、生產生活各方面效率由此快速提高，人人成為數字化的受益者。與此同時，數字化轉型過程中出現新的安全風險，比如資訊洩露幾乎影響每一個人。人們對數字化系統的依賴，對系統穩定執行有極高的要求。如果業務服務因故中斷，會給社會功能正常運轉帶來很多麻煩。

挖礦木馬攻擊，就是發生率較高，極可能造成業務系統中斷的一類威脅，是最常見的網路攻擊。根據騰訊安全團隊最新檢測結果，在公有云的攻擊事件當中，以挖礦為目的的入侵佔比54.9%，已超過一半，騰訊雲在過去30天累計檢測到挖礦木馬攻擊事件超過6000起。有境外科技媒體報導，挖礦木馬攻擊在所有安全事件中超過25%。

駭客透過各種技術手段傳播擴散挖礦木馬，木馬控制的計算機越多，木馬生存時間越長，獲得的挖礦收益也就越多。挖礦木馬最明顯的影響是大量消耗系統資源，使系統其他軟體或服務執行緩慢，效能變差。雲主機被挖礦木馬入侵，正常服務可能因效能變差而速度變慢，甚至服務崩潰中斷，管理員透過top -c命令檢視系統程式，會發現CPU佔用超高。

圖3

挖礦木馬為實現長期駐留隱蔽挖礦的目標，會採用很多技巧。騰訊安全專家分析發現，有挖礦木馬會設定一個佔用系統資源的上限，比如不超過80%。部分挖礦木馬設計了檢測系統工具執行的能力，當檢測到程式管理器啟動時，挖礦程式馬上停止。或只在電腦黑屏時挖礦，有人操作電腦時退出等等。還有其他複雜的技巧，包括隱藏程式，或替換、偽裝系統程式，欺騙管理員排查等。

很多人認為挖礦木馬只不過讓系統變慢，消耗系統資源，不會有破壞性後果。這種看法嚴重低估了挖礦木馬的危害，挖礦木馬的影響遠不止這些。

騰訊安全團隊日常運營中分析了大量挖礦木馬家族，除了大量消耗受害者主機計算機資源，干擾正常業務執行。挖礦木馬普遍具備以下行為：

l  新增SSH免密登入後門

l  新增具備管理員許可權的帳戶

l  安裝IRC後門，接受遠端IRC伺服器的指令

l  支援替換多個系統工具：ps、top、pstree等

l  安裝Rootkit後門

l  關閉Linux/Windows防火牆

l  關閉Windows Defender

l  解除安裝雲主機安全防護軟體

l  新增定時任務、新增啟動項

l  清除系統日誌

以上行為會嚴重威脅伺服器安全，挖礦木馬控制者隨時可能竊取伺服器機密資訊，控制伺服器進行DDoS攻擊，以此伺服器為跳板攻擊其他計算機，甚至可以在任何時候釋放勒索病毒徹底癱瘓伺服器。關閉、解除安裝防火牆和主機安全軟體的行為，會讓受害主機安全防護能力消失，導致伺服器被其他黑產團伙入侵控制的可能性倍增。

挖礦木馬的目標除了雲主機，還有一類數量分佈極廣的裝置：IoT智慧裝置，包括智慧路由器、網路攝像頭等等。因為不少這類裝置的製造商使用開源系統，自身安全能力相對不足，所用元件的高危漏洞修復困難，同時，使用這類裝置使用者也往往對安全風險考慮不多，積極主動修復漏洞的較少。導致大量IoT裝置因漏洞被入侵持續控制，直至使用者淘汰舊裝置更換新裝置。被控制的IoT裝置，除了用於挖礦，也被用來蒐集隱私資訊、透過DDoS攻擊來非法獲利。

挖礦木馬的入侵通道

利用漏洞武器和弱密碼爆破攻擊，是挖礦木馬攻擊傳播最常用的兩類方法。供應鏈攻擊的案例也時有發生，雖說案例較少，但具備影響面大的特點。

騰訊安全團隊日常分析大量挖礦木馬家族，不少挖礦木馬十分勤奮，特別擅長利用流行漏洞攻擊武器入侵。當一個利用難度較低適用面廣的高危漏洞出現時，會發現一群挖礦木馬團伙如發現金礦一般蜂湧而至。

今年8月25日，Atlassian官方披露Atlassian Confluence 遠端程式碼執行漏洞（CVE-2021-26084)，攻擊者利用漏洞可以完全控制伺服器完成任何可能的任務。9月1日，漏洞poc（概念驗證程式碼）被公開在Github。當晚，騰訊安全團隊檢測到多個不同挖礦木馬團伙、殭屍網路團伙利用該漏洞攻擊雲主機。第2天，發現利用該漏洞攻擊的黑產團伙增加到7個，其中5個為挖礦木馬家族：kwroksminer，iduckminer，h2miner，8220Miner，z0miner。

同樣，一個挖礦木馬團伙也可能利用多個不同的漏洞攻擊武器組合。騰訊安全曾截獲跨平臺蠕蟲HolesWarm，該蠕蟲利用20餘種漏洞武器攻擊Windows、Linux主機挖礦。

網路服務的弱口令配置也是挖礦木馬入侵的重要通道，不少挖礦木馬會攜帶或下載弱密碼字典進行爆破攻擊。

挖礦木馬常見的攻擊方式及攻擊後果可以參考下圖：

圖4

我們將常見挖礦木馬攻擊事件對應到ATT&CK對映圖譜，以描述此類威脅的技術特點：

圖5

本期內容，我們討論了挖礦木馬的慣用手法和危害，之後會透過多個章節來介紹如何採取措施高效檢測和清除挖礦木馬。