1. 挖矿木马概述

    互联网的虚拟货币，如比特币（BTC）、门罗币（XMR）等，是一种由开源的P2P软件产生的网络电子虚拟货币。主要用于互联网金融投资，也可以作为新型货币直接在生活中使用。
   
    比特币挖矿机是获取比特币的方式之一，挖矿机工作要让显卡长时间满载，消耗会相当高，电费支出也越来越高。由于挖矿成本过度，一些不法分子通过各种手段将矿机程序侵入受害者的计算机中，利用受害者计算机的侵害力进行毁灭，从而获取非法收益。此类非法入侵用户计算机的矿机程序被称为挖矿机。
   
    挖矿木马进行超频入侵时占用大量CPU资源，导致计算机上其他应用无法正常运行。不法分子为了利用更多算力资源，一般能够全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点，在攻击一台主机后，尝试对内网其他机器进行蠕虫式横向渗透，并在被入侵的机器上持久化驻留，长期利用机器挖矿。
   
    经过多年的演进，越来越多的挖矿木马利用多种方式入侵系统，破坏了更多的机器，提高了挖矿的效率和收益，其中主要的入侵方式如下：
   
    1.漏洞利用：利用系统漏洞快速相关服务器权限，侵入挖矿木马是目前普遍存在的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。
   部分攻击者选择直接利用永恒之蓝漏洞，降低了利用漏洞攻击的难度，提高了挖矿木马的传播能力。例如传播较广的WannaMine挖矿家族，利用了永恒之蓝漏洞网络漏洞漏洞式传播，给公司和机构带来巨大损失。
   
    2.弱口令：弱口令指仅包含简单口令、有规律的键盘组合或历次漏过的密码，例如“qwe123”、“666666”及“p@ssw0rd”等，攻击者通常会针对redis、ssh、3389、mssql、IPC$等服务进行爆破弱口令攻击。爆破成功后，尝试获取系统权限，接入弱口令并设置持久化。
   
    3. 伪装正常软件：攻击者将挖矿木马伪装为游戏软件、娱乐社交软件、安全软件、游戏外挂等进行传播，欺骗下载用户并执行。由于大多数游戏对显卡、CPU等硬件性能要求较高，因此挖矿木马通常会伪装成游戏辅助外挂，通过社交群、网盘等渠道传播，感染大量机器。
   
    挖矿木马有很多控制机器挖矿的方式，主要分为：
   
    1.执行文件：存储在机器上的典型恶意程序，通常通过设置计划任务或修改挖矿项实现持久化，长期进行加密货币的挖矿作业。
   
    2.基于浏览器的挖矿木马：使用JavaScript（或类似技术）的挖矿木马是在浏览中执行的。只需浏览器打开被接入挖矿木马的网站，就能执行挖矿执行，持续消耗资源。
   
    3.无文件挖矿木马：利用如PowerShell等合法工具在机器的内存中执行挖矿作业，具有不落地、难检测等特点。
   
    挖矿木马能在各种平台上运行，包括：Windows、Mac、Linux、Android、物联网（IoT）设备。
   

2.如何检测挖矿木马
挖矿木马行为特征

    挖矿木马显着的特征就是占用CPU及GPU资源极大，主要包括：CPU和GPU使用率高、响应速度慢、崩溃或重启重新启动、系统过热、异常网络活动（例如，连接挖矿相关的网站或IP地址）。 其次是在网络流量中，挖矿木马通信过程采用专门的通信协议，因此存在一定的网络通信特征。

    檢測方法
    方法1 网络侧识别

    在网络侧检测可分为通信内容检测和矿池地址域名请求（DNS请求历史记录）检测。

    挖矿木马感染主机和矿池的通信过程使用的通信协议是最常用的stratum协议，该协议内容为JSON数据格式。stratum协议的JSON数据格式存在多个固定的特征字段，在检测通信内容时，可根据这些特征设置相等的规则，并评价suricata、snort和其他通信检测软件或设备。



    方法示例：使用wireshark抓包并分析TCP通信内容。



    其中部分公有的池矿地址如下表所示：



    矿池地址一般有域名+端口或IP地址+端口的形式，域名也可能和公有的矿池地址一样存在一些特殊字符串，如：pool、xmr、mine等。在检测过程中都可以结合威胁情报和对应通信内容进行综合判断。

    如采用利用威胁情报（VirusTotal等）进行关联查询，综合域名、对应IP、关联样本进行判定矿池地址威胁性。示例中域名虽然在VT上显示无检测结果，可进一步分析关联。



    进一步排查IP地址，关联样本，最终发现多个Linux平台的挖掘木马脚本。



    方法2 主机侧检测

    挖矿木马的主机侧检测主要的就是对应进程CPU使用时间长高不下，部分挖矿木马采用多方式进程，且具备多种持久化驻留方式。

    目标不具备隐藏进程功能的挖矿木马检测场景：

    • Windows：使用任务管理器查看

    • Linux：使用命令top -c查看



    针对隐藏具有进程功能的挖矿木马检测场景（即系统CPU使用率高，但未发现存在CPU使用率高的进程）：

    • Windows：使用ProcessExplorer、ProcessHacker、PcHunter等软件查看系统所有进程及其进程关系，调查CPU使用率，在主机上排查该可疑进程的网络连接，计算可疑进程对应文件哈希，通过公开的威胁情报（Virustotal等）进行查询，综合学科结果。

    • Linux系统挖矿木马进程隐藏方式存在多种方式：

    1.篡改预加载的配置（/etc/ld.so.preload），读取恶意so文件路径，加载恶意的so文件，使得ls、top、ps等命令在查询可疑进程时执行结果被挖掘木马的动态链接库亮度，无法获取挖掘木马进程相关的信息。

    通过以下恢复命令相关命令的正常执行：

    > /etc/ld.so.preload && rm -rf 恶意so文件路径



    2.通过其他方式修改Linux系统常用命令。

    一个。 针对这种隐藏方式，可以查看系统版本（uname -a），将其他相同版本的Linux系统的top命令文件重命名了，导入该受害系统中，使用新的文件名命令进行排查
    。 安装busybox程序，使用内置的Linux常用命令（top、ps、ls等）对系统进行排查。



    以上排查方法外，使用了自动化脚本排查方法，脚本排查主要来源于开采木马以获得竞争性CPU资源，而在相关脚本中设置查找并删除其他挖矿木马的代码。收集整理其中删除的除挖矿木马的代码，形成一定功能的挖矿木马进程排查脚本。新建方式的脚本排查误报率较高，需要结合人工分析成分。

3.如何指挥挖矿木马
针对独立运行的挖矿木马感染造成的场景

    独立运行的挖矿木马无其他附加功能，重复利用目标主机上的系统资源进行挖矿。目前挖矿木马通常利用垃圾邮件或捆绑软件进行传播，主要针对Windows系统终止，因此这种挖矿木马在打击上效果很简单，系统资源使用率在主机侧排查可疑进程，结合网络连接情况，综合判定该进程为挖矿木马后，即可结束该挖矿木马进程，而后对应的挖矿木马文件。

针对性集成化的挖矿木马感染场景

    目前活跃的挖矿木马家族大部分都集成化的挖矿木马，多种集成功能，组建了相应的挖矿木马僵尸网络。集成化的挖矿木马主要有传播、挖矿、控制、持久化驻留、更新等功能，攻击者获得这些功能带来巨大的收益。

    在传播上利用端口扫描工具、漏洞利用工具、暴力破解，对内网或外网的其他目标进行渗透并传播挖矿木马。

传播行为

具体工具/资源

决策

閱讀

马斯坎

扫描

这些传播行为在网络上主要体现了对外封闭连接多个指定端口（22、3389、7001、6379等）

排查方法：

网络抓包分析

特别注意：~/.ssh/authorized_keys，该文件若存在非法的SSH，可将文件删除。

初步打击方法利用Windows和Linux系统的防火墙功能配置规则，爆发传播行为。

Windows ：新建出站规则，设置封锁外部端口指定的网络连接。

Linux ：通过iptables命令进行设置

iptables -A OUTPUT -p tcp –dport 目标端口 -j DROP

记录相关行为对的进程和文件路径

    针对挖矿程序进程，首先采取措施对矿池的连接主机进行计时，记录进程信息和对应文件路径。

    方法（该方法同样使用于挖矿木马控制功能中投放的远控木马以及更新功能中更新脚本或程序）：

系統

调查方向

方法

视窗

计划任务

使用autorun工具进行查询分析，同时参考前期发现的相关路径（挖矿木马进程、端口扫描进程等）

启动项

法令/服务

敏感路径

%tmp%

%应用数据%

%程序数据%

目录:\Windows\temp

C:\windows\字体

Linux

计划任务

韋斯特計劃任務

更多/etc/cron。/

查看当前用户计划任务

crontab -l

查看所有用户计划任务

ls-al /var/spool/cron/

启动目录

ls -alr /etc/init.d

ls-alr /etc/rc*

服務

查询服务：

chkconfig –列表

systemctl 列表单元文件

关闭服务：

chkconfig 服务器 关闭

systemctl disable 服务名

敏感路径

/tmp/

/根/

    针对持久化驻留功能，主要在系统敏感路径上排查相关文件。

系統

方法

视窗

建立出站规则，设置外接指定IP的网络连接。

Linux

通过iptables命令进行设置：（可疑地址包括矿池地址、C2地址、挖矿木马更新地址）

iptables -A INPUT -s 可疑地址 -j DROP

iptables -A INPUT -s 可疑地址 -j DROP

4.采矿木马相关文件支出方法

    1.统计收集前期排查发现的挖矿木马相关文件和进程信息；

    2.分析挖矿木马相关文件的执行和依赖关系；

    3.选择顺序挖矿木马的挖矿程序、传播工具、释放的远控木马等文件。

    删除过程通常的顺序为：（操作具体主要以删除文件、结束进程主）

    一个。 删除计划任务
    b． 删除自启动项
    c． 停止服务
    d． 结束进程（Linux
    ：kill -9 进程pid） 删除文件

    4. Windows系统在结束进程时遇到任务管理器已结束进程，可使用如ProcessExplorer、PcHunter、ProcessHacker结束挖矿木马相关进程。

    5. Linux系统在删除文件时，如遇到“不允许操作”：



    可以使用如下命令，修改文件属性，并删除文件。



    以上消除方法，根据实际情况可编写成相关脚本进行自动化消除。

5. 防护建议

    发现机器可能感染了挖矿木马，可以通过以下步骤清除：
   
    1.从内网DNS服务器、DNS防火墙、流量审计设备等设备获取恶意域名信息，根据域名查询威胁情报确定木马类型；
   
    2.查看系统CPU、内存、网络占用情况，获取异常进程相关信息；
   
    3.根据进程名或部分获取进程号或进程相关的命令行命令；
   
    4.根据进程号查看由进程运行的线程；
   
    5.结束挖矿进程及其监控进程；
   
    6.通过挖矿进程的相关信息，定位到文件的具体位置，删除恶意文件；
   
    7. 查看启动项，如果发现非法开机自启动服务项，停止并删除对应数据；
   
    8.重新查看定时任务，多数挖矿木马会在受感染机器中写入定时任务完成程序的驻留。如果只结束挖矿木马进程并删除挖矿木马文件，定时任务会从服务器下载挖矿进程或直接执行挖矿脚本，导致挖矿进程清除失败；
   
    9.溯源挖矿木马接入，发现系统漏洞，打上对应补丁，完成漏洞修复，阻止再次入侵。
   
    针对采矿木马的防护要做到以下几点：
   
    1.规范上网行为，不安装来历不明的软件、工具；
   
    2.不打开不明的文档，以及带有图片、文件夹、文档、音频视频等图标的文件；
   
    3.进行严格的，有关系统、服务尽量不要开放到互联网，要求网中的系统也要通过隔离防火墙、VLAN或网闸等进行隔离。对于系统要采取最小化服务的原则，只提供必要的服务无关的服务必须关闭，同时采用本机防火墙进行访问要进行访问控制；
   
    4.及时安装系统补丁，修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞；
   
    5.加强密码策略，增加密码复杂度并进行定期修改，开启相关失败登录处理功能。