2019年上半年挖矿木马报告：每天新增6万个木马样本

咪咪威胁情报中心

一、概述

在经历了2018年的大幅下跌后，比特币在2019年上半年恢复上涨，6月底达到13000美元/BTC，接近17000美元/BTC的历史高位。

随着比特币的暴涨，整个数字加密货币的价格都在上涨，与币市密切相关的挖矿木马又开始了新一轮的活动。 例如，2019年3月上旬开始出现的“隐影”挖矿木马，自出现以来不断更新基础设施，利用各大镜像床和网盘传播恶意挖矿程序； “永恒之蓝”下载木马、WannMiner、BuleHero等挖矿团伙不断涌现新的变种，利用各种系统漏洞和服务器组件漏洞进行快速传播，然后在被感染系统中植入门罗币挖矿程序。

挖矿木马通过完成大量的计算，获得数字加密货币系统的“币”奖励。 在计算过程中，会大量占用电脑的CPU和GPU资源，导致电脑异常缓慢。 如果是笔记本电脑，会出现电脑过热、风扇转速升高、电脑噪音增大等异常情况。

挖矿木马虽然不会通过窃取资产的方式对中毒计算机造成直接损失，但由于传播速度快（很多具有内网横向传播能力）、感染等级大比特币钱包dat破解，会干扰正常系统服务的运行，这将大大增加企业的收入。 它对政府机构公共服务的效率有很大的影响。

挖矿木马和勒索病毒的传播途径几乎相同。 政府和企业甚至可以将挖矿木马作为评估系统安全措施有效性的“指标”：如果有挖矿木马入侵，勒索病毒肯定可以入侵，必须采取措施加强安全管理以免造成更严重的损失。

年初至3月，挖矿木马最为活跃，日产挖矿木马样本约15万个； 4月份开始下降，一直保持在每天6万个样本左右，一直到5、6月份。 挖矿木马会在数字虚拟货币热的时候迅速膨胀，在数字虚拟货币冷的时候慢慢降温。 挖掘木马样本的总规模在所有病毒木马类型中占比很大，是近年来最常见的病毒类型。

2.攻击类型（传播渠道）

2019年上半年，挖矿木马的主要攻击方式是漏洞利用。 利用的漏洞包括Windows系统漏洞和各种服务器组件漏洞。 这种攻击的特点是速度快，攻击有漏洞的机器成功率高； 其次是弱口令爆破，包括MsSQL爆破、IPC$爆破、SSH爆破等，攻击特点是技术简单，但攻击时间长； 然后借助僵尸网络感染，Mykings、Glupteba等僵尸网络不断活跃。 第三大挖矿木马传播源。

三、疫区分布

从地域分布来看，2019年上半年，全国各地均不同程度感染挖矿木马。 较严重的地区是广东、山东、江苏、北京和四川。 总体分布格局与网民密度分布基本吻合。 . 挖矿木马已经成为网络世界中最容易被感染的木马之一。

4、挖矿收益

挖矿木马连接矿池进行挖矿，从矿池中获取任务，计算后提交给矿池。 由于单个设备的算力（也称为“哈希率”，单位是每秒哈希值的个数）低，不可能获得区块奖励。 因此，矿工通常会将自己的矿机接入矿池平台，贡献自己的算力共同挖矿，获得奖励后根据各自的贡献分享收益。

2019年上半年，使用最广泛的矿池是f2pool.com、minexmr.com和uupool.cn。

按照平均每台电脑300H/s的算力计算，御剑安全威胁情报中心监测到，全网每天约有8.1万台电脑接入矿池。 据此估算，控制肉鸡挖矿获得的收益约为8万元/天，每台电脑每天挖门罗币（据分析，大部分挖矿木马都投在了门罗币挖矿，以及比特币矿场是专业矿机）收益约1元，挖矿木马控制bot的挖矿设备成本为零，电费和矿机（中毒电脑）成本由系统原所有者支付).

五、主要技术特点

5.1 大量使用 NSA 武器

2017年4月，美国国家安全局（NSA）旗下“公式黑客组织”使用的部分网络武器被公开，其中包括可远程攻破全球约70%Windows系统的漏洞利用工具。

其中比特币钱包dat破解，最有可能影响个人Windows用户的工具有十款，包括永恒之蓝、永恒冠军、永恒浪漫、永恒协作、翡翠纤维、怪异地鼠、爱斯基摩翻滚、优雅学者、日蚀之翼和尊重评论。 黑客只需要使用现成的攻击包程序扫描攻击网络上的所有IP地址，然后在目标机器上执行自己构建的攻击负载即可达到快速传播木马的目的。

由于挖矿木马的特点是无需选择特定目标即可快速控制大量bot组成挖矿网络进行计算，因此利用NSA武器进行批量漏洞扫描攻击几乎是最佳选择。 目前NSA武器中，挖矿木马最常用的有《永恒之蓝》、《双脉冲星》、《永恒冠军》、《永恒罗曼史》。 修复该漏洞的用户有被攻击的风险。

5.2 弱口令爆破

由于部分IT管理人员缺乏安全意识，在使用MsSQL、IPC$、SSH、VNC等服务过程中，使用简单的弱密码（弱密码是指只包含简单数字和字母的密码，如“ 123”、“abc”等，此类密码很容易被他人破解）。 这些弱密码几乎都被黑客掌握了。 针对特定端口，使用大量“密码”进行登录，使用弱密码的系统被快速爆破并成功登录，攻击者可以任意植入木马、控制服务器等进行操作。

5.3 “无文件”挖矿

2018年底出现的“永恒之蓝”下载器木马持续活跃至2019年上半年，该木马首先通过某软件的升级通道下载，通过“永恒之蓝”在内部网络横向传播Blue”漏洞，然后在受感染的机器上植入门罗币挖矿程序。

2019年4月3日，御见威胁情报中心检测到“永恒之蓝”下载器木马更新。 本次更新改变了原有挖矿木马的执行方式。 通过在Powershell中嵌入一个PE文件来加载，进行“无文件”形式的挖矿攻击。

新挖矿木马执行方式没有文件，直接在Powershell.exe进程中运行。 这种注入“白进程”执行的方法可能会使检测和删除恶意代码变得困难。 这也是首次发现以“无文件”形式执行的大规模挖矿木马。

注意：由于大多数传统安全软件都是基于文件登陆来检测威胁，如果恶意代码只是在内存中调用，很容易绕过传统安全软件的防御。 这种攻击方式被业界称为“无文件”攻击。

“永恒之蓝”下载器木马变种后期，攻击方式逐渐转向“无文件”攻击。 首先在被感染机器上安装定时任务，通过定时任务启动Powershell攻击模块（无文件登陆）。 Powershell攻击模块包括利用“永恒之蓝”漏洞攻击、弱口令爆破+WMIC、Pass hash攻击代码。 在被感染机器上执行Payload安装计划任务，将文件上传到启动目录，执行相应的Payload后进行下一轮感染。

5.4“交叉感染”

NSABuffMiner是米米威胁情报中心于2018年9月发现的挖矿木马家族，因其主C2域名中含有特征字符“buff”而得名； IndoneMiner是米米威胁情报中心于2019年1月发现的一款挖矿木马家族，因使用的主C2域名包含“indonesias”而得名。 这两个家族各自使用NSA武器进行漏洞攻击，传播自己的挖矿木马。

2019年4月，我们惊奇地发现两个家庭开始交叉感染。 因为NSABuffMiner在最新更新的父样本中增加了一个下载模块，用于同时下载NSABuffMiner和IndoneMiner两个家族的NSA武器攻击包，然后利用NSABuffMiner的攻击模块攻击内网IP ，IndoneMiner的攻击模块攻击外网IP，然后注入执行从不同服务器下载的Payload。

这样一来，一旦发动攻击，两家的木马就会同时开始传播，造成更大面积的感染。

进一步分析发现，这两个家族最早出现的时间非常相似，都是在2018年7月。而且各自的C2域名中都包含一个指向湖北武汉的地址（t.honker.info:8和indonesias.me:9998），他们各自的矿池包含一个指向韩国的地址（x.csrss.website:80 和 indonesiasgo.website:1236）。

由此看来，这两个木马家族可能出自同一个帮派。 它们早期作为两个部分独立发展，后来合而为一并交叉感染以扩大传播速度。

5.5 跨平台攻击

2019年3月，腾讯御剑威胁情报中心发现Satan病毒最新变种，对Windows和Linux系统进行无差别攻击，随后在受害人电脑植入勒索病毒勒索比特币，并在受害人电脑植入挖矿木马。同时挖门罗币。

病毒攻击双平台很容易理解。 入侵系统后，同时植入勒索病毒和挖矿病毒，有点不可思议：挖矿病毒需要长时间孵化，存活时间越长，获利越大； 而一旦勒索病毒对用户数据进行加密，就会很快被用户察觉。 用户一旦在系统中发现勒索病毒，往往会检查系统进行病毒扫描，或者将系统与网络断开连接，挖矿病毒将难以隐藏。

5.6 最“勤奋”的矿马

从更新频率来看，2019年上半年最新“勤劳”挖矿木马排名前三的分别是：“永恒之蓝”下载器、BuleHero蠕虫、“隐身”挖矿木马。

1）《永恒之蓝》下载器

该木马首次利用某软件的升级通道进行大规模感染后，短短数月内进行了10余次更新。 为了增加挖矿收益，他们不断变换攻击方式，与安全软件厂商斗智斗勇。 木马更新时间线如下：

2）BuleHero挖矿蠕虫

BuleHero蠕虫虽然不像“永恒之蓝”下载器木马那样更新频繁，但活跃时间较长。 于2018年8月首次被发现，一直活跃到2019年7月。木马在使用各种攻击手段方面可谓全面清晰，主要分为三种攻击类型：Windows系统漏洞、Web组件漏洞、各种弱密码爆破攻击。 木马不断更新完善，及时将黑市最新的安全漏洞纳入其武器组合。

御剑威胁情报中心监控的BuleHero开发时间线：

3）“隐形”挖矿木马

“隐形”挖矿木马是2019年3月上旬出现的挖矿木马家族，该木马利用功能性网盘和镜像床进行自我隐藏，携带NSA武器库，具有在本地横向传播的能力网络。

御鉴威胁情报检测到“隐影”挖矿木马时间线：

2019年3月28日，《影藏》基础设施和盈利方式大幅更新。 新变种增加了挖矿币种、钱包ID、矿池、安装过程、代理等。

2019年4月15日，“Invisible”挖矿木马更新基础设施，简化攻击流程，启用最新挖矿账户挖PASC币，通过Invoke-ReflectivePEInjection在Powershell进程中执行挖矿程序。

2019年5月17日，更新基础设施，通过计划任务的持久化同时开采PASC币、门罗币等多种数字加密货币。

“影子”使用的大量公共服务：

6.挖矿僵尸网络

6.1 我的国王

Mykings挖矿木马2019年2月更新劫持剪贴板功能，窃取数字加密货币、WebMoney、YandexMoney、流式充值信息等，该木马加入定时任务，每1小时启动一次，通过正则表达式切入剪贴板匹配的内容比特币、门罗币、以太坊等25种数字加密货币的钱包地址。 用于转账的黑客钱包加密存储在PE中，每次获取剪贴板数据时会动态解密。 解密算法是将密文改为-1。

6.2 想矿机

2019 年 3 月，WannaMiner 新变种出现。 该变种利用“永恒之蓝”漏洞在企业内网快速传播。 该变种的主要变化是漏洞攻击成功后释放的特殊格式加密母文件变为rdpkax.xls，文件后缀随机选择特定列表（xml、log、dat、xsl、ini ，TLB，MSC）。 本机安装的主要服务模块DLL文件名由三组字符组成，如WindowsUpdateService：

第 1 组：Windows、Microsoft、网络、远程、功能、安全、应用程序

2组：更新、时间、NetBIOS、RPC、协议、SSDP、UPnP

3 组：Service、Host、Client、Event、Manager、Helper、System

同时，由于选中的字符会被硬编码到生成的DLL文件中，因此每次生成的木马DLL的哈希值可能都不一样。 这些特点增加了反病毒查杀的难度。

6.3 想挖矿

WannaMine（区别于WannaMiner，专注于PE文件攻击）于2017年底首次被发现，利用“无文件”攻击形成挖矿僵尸网络。 攻击过程中执行远程Powershell代码，全程无文件登陆。

为了隐藏其恶意行为，WannaMine还通过WMI类属性存储shellcode，并利用“永恒之蓝”漏洞攻击武器和“Mimikatz+WMIExec”攻击组件进行横向渗透。

2019年4月，腾讯安全御剑威胁情报中心检测到挖矿僵尸网络更新基础设施，启用新的C2地址存放恶意代码。 该变种放弃了单一的通过Powershell内存注入执行挖矿程序的方式，改为同时发布PE木马挖矿。

这种策略增加了挖矿程序成功执行的概率，同时也增加了僵尸网络暴露自身的风险（无文件攻击->有文件攻击）。 战略。

七、2019年上半年典型挖矿事件

八、2019年下半年挖矿木马发展趋势

数字加密货币从2018年到2019年经历了过山车行情，先暴跌后暴涨。 比特币已从 2017 年底的 20,000 美元跌至不足 4,000 美元的最低点。 原以为数字加密货币没有前途，结果一转身，币圈在2019年上半年迎来又一轮暴涨。

不断攀升的交易量和不断攀升的数字货币价格犹如一针强心剂，让挖矿木马疯狂起来，许多沉寂已久的古老挖矿木马重新活跃起来。 由于控制bot计算机挖矿成本为零，越来越多的黑客团体参与挖矿木马的制作和传播。

从2019年上半年挖矿木马事件中发现，虽然新增挖矿木马家族数量较2018年有所减少，但部分家族存在版本快速持续更新的现象，说明黑产人员不专注做“一次性”交易，转而采用持续运行和改进木马的思路，快速迭代。

我们观察到，挖矿木马的功能设计越来越复杂，隐藏方式和攻击手段不断创新，与反软件厂商的技术交锋不断加剧。 我们认为，2019年下半年，已知的大型挖矿木马家族变种还会继续出现，新的挖矿木马也会不断出现。

九、挖矿木马对策

1、不要下载不明来源的软件，谨慎使用破解工具和游戏辅助工具。

2、及时安装系统补丁，尤其是微软发布的高危漏洞补丁。

挖矿木马常用Windows系统漏洞修复建议：

1）MS010-17“永恒之蓝”漏洞

服务器暂时关闭不需要的端口（如135、139、445），方法可以参考：

下载更新Windows系统补丁，及时修复永恒之蓝系列漏洞

XP、WindowsServer2003、win8等系统访问：

Win7、win8.1、Windows Server 2008、Windows 10、WindowsServer2016等系统接入：

2）CVE-2017-8464 LNK远程代码执行漏洞

参考微软官方公告安装补丁：

3、服务器采用安全密码策略，使用高强度密码，绝不使用弱密码，防止黑客暴力破解。

挖矿木马常用的爆破类型有：MsSQL爆破、IPC$爆破、SSH爆破、SMB爆破、WMIC爆破。 如果您需要在用户机器上使用上述类型的相关服务，请务必勾选登录时使用的弱密码。

4、企业用户及时修复服务器组件漏洞，包括但不限于以下类型：

Apache Struts2漏洞、WebLogicXMLDecoder反序列化漏洞、Tomcat任意文件上传漏洞、Drupal远程任意代码执行漏洞、JBoss反序列化命令执行漏洞、Couchdb组合漏洞、Redis未授权访问漏洞、Hadoop未授权访问漏洞；

挖矿木马常用服务器组件漏洞修复建议：

1) Weblgoic

CVE-2019-2725补丁包

补丁包下载地址如下：

CVE-2017-10271补丁包

补丁包下载地址如下：

2) 阿帕奇Struts2 (S2-045)

建议升级修复

受影响的用户可以升级到 Apache Struts 2.3.32 或 Apache Struts 2.5.10.1 来消除该漏洞。

3）ThinkPHP漏洞CNVD-2018-24942

ThinkPHP厂商已发布新版本修复该漏洞，建议用户立即升级至最新版本：

5、监控设备CPU、GPU占用情况，发现异常程序及时清除，部署更完善的安全防御体系。 建议在Windows服务器上部署腾讯鱼点终端安全管理系统，在个人电脑上使用腾讯电脑管家，防止感染挖矿木马。