[TOC] ## 简介 * 挖矿（Mining），早期与比特币有关，用户使用个人计算机下载软件，然后运行特定的算法，与远方服务器通信后得到相应比特币，挖矿就是利用比特币挖矿赚取比特币 * 由于挖矿成本过于高昂，一些不法分子通过各种手段将矿机程序植入受害者的计算机中，利用受害者计算机的运算力进行挖矿，从而获取非法收益。这类非法侵入用户计算机的矿机程序被称作挖矿木马 * **挖矿木马进行超频运算时占用大量CPU资源，导致计算机上其他应用无法正常运行**。不法分子为了使用更多算力资源，一般会对全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点，在成功入侵一台主机后，尝试对内网其他机器进行蠕虫式的横向渗透，并在被入侵的机器上持久化驻留，长期利用机器挖矿获利 ## 常见的挖矿木马 * **Mykings（隐匿者）** 主要利用“永恒之蓝”漏洞，针对 MsSQL、Telnet、RDP、CCTV等系统组件或设备进行密码暴力破解，暴力破解成功后，利用扫描攻击进行蠕虫式传播。Mykings不仅局限于挖矿获利，还与其他黑产家族合作完成锁首页，DDoS 攻击等 * **8220Miner** 因固定使用 8220 端口而被命名。利用多个漏洞进行攻击和部署挖矿程序，是一个长期活跃的组织，也是最早使用 Hadoop Yarn 未授权访问漏洞攻击的挖矿木马，除此之外，还是用了多种其他的Web 服务漏洞。8220 Miner 没有采用蠕虫式的传播，而是使用固定一组 IP 地址进行全网攻击，为了持久化驻留，使用了 rootkit 技术进行自我隐藏。 * **WannaMine** * 采用“无文件”攻击组成挖矿僵尸网络，最早在2017年底被发现，攻击时执行远程Powershell代码，全程无文件落地。为了隐藏其恶意行为，WannaMine还会通过WMI类属性存储shellcode, 并使用“永恒之蓝”漏洞攻击武器以及“Mimikatz+WMIExec”攻击组件进行横向渗透。 * 2018年6月，WannaMine 增加了 DDoS 模块，改变了以往的代码风格和攻击手法。2019年4月，WannaMine 舍弃了原有的隐匿策略，启用新的 C2 地址存放恶意代码，采用Powershell 内存注入执行挖矿程序和释放PE木马挖矿的方法进行挖矿，增大了挖矿程序执行的概率。 ## 传播方式 ~~~ • 利用漏洞传播 • 通过弱口令爆破传播 • 通过僵尸网络传播 • 采用无文件攻击方法传播 • 利用网页挂马传播 • 利用软件供应链攻击传播 • 利用社交软件、邮件传播 • 内部人员私自安装和运行挖矿程序 ~~~ ## 处置方法 1. 隔离被感染的服务器或主机 2. 确认挖矿进程 3. 清除挖矿木马 * 阻断矿池地址连接 * 清除挖矿定时任务、启动项等 * 定位挖矿木马文件的位置，并清除 ## 清除木马 * 从内网DNS服务器、DNS防火墙、流量审计设备等设备获取恶意域名信息，根据域名查询威胁情报确定木马类型 * 查看系统CPU、内存、网络占用情况，获取异常进程相关信息 * 根据进程名或部分字符串获取进程号或进程相关的命令行命令 * 根据进程号查看由进程运行的线程 * 结束挖矿进程及其守护进程 * 通过挖矿进程的相关信息，定位到文件的具体位置，删除恶意文件 * 查看启动项，如果发现非法开机自启服务项，停止并删除对应数据 * 查看定时任务 * 溯源挖矿木马入侵途径，查找系统漏洞，打上对应补丁，完成漏洞修复，防止再次入侵 ## 防护建议 * 规范上网行为，不安装来历不明的软件、工具 * 不打开来历不明的文档，以及带有图片、文件夹、文档、音视频等图标的文件 * 进行严格的隔离，有关系统、服务尽量不要开放到互联网，在内网中的系统也要通过防火墙、VLAN或网闸等进行隔离。对于系统要采取最小化服务的原则，只提供必要的服务无关的服务必须要关闭，同时采用本机防火墙进行访问要进行访问控制 * 及时安装系统补丁，修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞 * 加强密码策略，增加密码复杂度并进行定期修改，开启相关登录失败处理功能 * 服务器定期维护 ## 常用工具 * ProcessExplorer 能管理隐藏的程序，可监视、挂起、重启、终止程序 * PCHunter 功能强大的系统信息查看软件，PCHunter使用了windows 内核技术