1.挖礦木馬分析

1.概述挖礦木馬是通過各種手段將挖礦程序植入受害者的計算機中，在用戶不知情的情況下，利用受害者計算機的運算力進行挖礦，從而獲取非法收益目前有多個威脅組織（例如，TeamTNT、H2Miner等）傳播挖礦木馬，致使用戶系統(tǒng)資源被惡意占用和消耗、硬件壽命被縮短，嚴(yán)重影響用戶生產(chǎn)生活，阻礙社會發(fā)展。

2.挖礦木馬是什么意思

2021年，安天CERT發(fā)布了多篇針武漢房產(chǎn)網(wǎng)最新樓盤價格對挖礦木馬的分析報告，現(xiàn)將2021年典型的挖礦木馬進行了梳理，形成家族概覽，進行分享挖礦木馬家族出現(xiàn)時間針對平臺Outlaw2018年11月LinuxTor2Mine

3.挖礦木馬有什么特征?如何進行有效防范?

2018年12月WindowsTeamTNT2019年10月Windows、LinuxH2Miner2019年12月Windows、LinuxSatan DDoS2020年5月Windows、Linux

4.挖礦木馬源代碼

Sysrv-hello2020年12月Windows、Linux云鏟2021年2月LinuxHolesWarm2021年6月Windows、Linux2.挖礦木馬的危害大量武漢房產(chǎn)網(wǎng)最新樓盤價格消耗計算機資源：挖礦木馬普遍消耗大量系統(tǒng)資源，使系統(tǒng)及其服務(wù)、應(yīng)用軟件運行緩慢，甚至可能使正常服務(wù)崩潰，造成數(shù)據(jù)丟失；

5.挖礦木馬攻擊利用最多的漏洞

降低計算機設(shè)備性能和壽命：被植入挖礦木馬的計算機壽命普遍較短，而且設(shè)備性能嚴(yán)重下降；浪費能源，增大碳排放量：挖礦木馬挖礦會消耗大量的電，造成巨大的能源消耗，而現(xiàn)階段電能的主要來源是煤炭，加劇碳排放污染；

6.挖礦木馬怎么賺錢

留置后門，衍生僵尸網(wǎng)絡(luò)：挖礦木馬普遍具有添加SSH免密登錄后門、安裝RPC后門，接收遠程IRC服務(wù)器指令、安裝Rootkit后門等；作為攻擊跳板，攻擊其他目標(biāo)：挖礦木馬可以控制受害者服務(wù)器進行DDoS攻擊，以此服務(wù)器為跳板，攻擊其武漢房產(chǎn)網(wǎng)最新樓盤價格他計算機，或者釋放勒索軟件索要贖金等。

7.挖礦木馬生成器下載

3.挖礦木馬家族的特征挖礦幣種：2021年大部分挖礦組織傾向于挖取門羅幣，主要有以下幾種原因：首先是門羅幣是無法追蹤的強匿名性貨幣；其次門羅幣的挖礦算法利用CPU的挖礦效率更高，一般僵尸網(wǎng)絡(luò)掌握的“肉雞”普遍不具備高性能，也就是沒有顯卡（即缺少高性能顯卡），所以為了獲取更多的挖礦收益，挖取門羅幣成為攻擊者首選；最后，在比特幣挖取難度日益增大的背景下，門羅幣在虛擬貨幣市場價格保持穩(wěn)定，相較于挖取比特幣，挖取門羅幣所帶來的價值更高，其對應(yīng)挖礦收益也更加穩(wěn)定。

8.開源挖礦木馬

競爭性：通過檢測并結(jié)束具有競爭性的其它挖礦木馬的進程，獨占目標(biāo)主機武漢房產(chǎn)網(wǎng)最新樓盤價格的計算資源持久性：通過添加計劃任務(wù)、創(chuàng)建服務(wù)、設(shè)置自啟動、RootKit等手段實現(xiàn)長期駐留目標(biāo)系統(tǒng)隱蔽性和對抗性：通過進程隱藏、命令替換、進程互鎖等方式，實現(xiàn)對抗排查和處置。

9.挖礦木馬檢測

針對性：針對各云服務(wù)提供商在云主機上運行的安全檢測程序，通過在腳本文件中添加能夠?qū)⑵浣Y(jié)束并卸載的惡意代碼，以此規(guī)避各云主機的安全檢測除此之外，部分挖礦木馬利用掃描工具對某一或多個云服務(wù)提供商的IP地址段進行探測，如云鏟、H2Miner等。

10.挖礦木馬是什么東西

集成性：挖礦木馬除了具備核心的挖礦功能模塊，還集成有端口掃描、漏洞利用、后門等相關(guān)組件，實現(xiàn)橫向傳播、廣泛傳播、構(gòu)建僵尸網(wǎng)絡(luò)，如TeamTNT、Ou武漢房產(chǎn)網(wǎng)最新樓盤價格tlaw等跨平臺性：通過Web組件漏洞利用，結(jié)合惡意的PowerShell、Shell等腳本，以及Python、Go語言編寫的惡意程序，實現(xiàn)跨平臺運行挖礦木馬，如Sysrv-Hello、Satan DDoS等。

4.典型挖礦木馬家族的介紹4.1 OutlawOutlaw僵尸網(wǎng)絡(luò)首次被發(fā)現(xiàn)于2018年11月，當(dāng)時其還只是一個通過漏洞入侵IoT設(shè)備和Linux服務(wù)器并植入惡意程序組建僵尸網(wǎng)絡(luò)的組織，主要從事DDoS攻擊活動，在暗網(wǎng)中提供DDoS出租服務(wù)。

在后續(xù)的發(fā)展過程中，受虛擬貨幣升值影響，也逐步開始在僵尸網(wǎng)絡(luò)節(jié)點中植入挖礦木馬，并利用僵尸網(wǎng)絡(luò)對外進行滲透并擴張，獲得更為龐大的計算資源，旨在挖礦過武漢房產(chǎn)網(wǎng)最新樓盤價格程中獲取更多的虛擬貨幣4.1.1家族概覽挖礦木馬家族Outlaw

出現(xiàn)時間2018年11月針對平臺Linux傳播方式漏洞利用、SSH暴力破解利用的漏洞Shellshock FlawDrupalgeddon2漏洞挖礦幣種門羅幣（XMR）4.1.2典型案例Outlaw凌晨突襲云主機

2021年7月28日凌晨，Outlaw僵尸網(wǎng)絡(luò)對大量云主機發(fā)起攻擊并植入僵尸網(wǎng)絡(luò)程序，被感染主機中存在大量SSH暴力破解記錄，且被植入挖礦程序、寫入SSH公鑰 4.2 Tor2MineTor2Mine挖礦組織從2018年開始出現(xiàn)，以擅長挖取加密貨幣和提供惡意軟件而聞名，該組織曾部署過其他惡意軟件，包括信息竊取惡意軟件AZO武漢房產(chǎn)網(wǎng)最新樓盤價格Rult、遠程訪問工具Remcos、DarkVNC后門木馬和竊取剪貼板上的加密貨幣數(shù)據(jù)盜取更多錢。

Tor2Mine名字的由來是因為在某些變種中使用了Tor網(wǎng)關(guān)與虛擬貨幣的C2服務(wù)器進行通信，因此叫做Tor2Mine在2021年，Tor2Mine變得非?；钴S，使用 PowerShell腳本嘗試禁用安全軟件、執(zhí)行挖礦程序并執(zhí)行Mimikatz遠程腳本獲取Windows憑據(jù)以獲得管理權(quán)限。

使用這些竊取的憑據(jù)，Tor2Mine可以主動傳播，如果沒有完全清除或者沒有安全軟件保護，它將繼續(xù)侵害受感染網(wǎng)絡(luò)上的其他系統(tǒng)4.2.1家族概覽挖礦木馬家族Tor2Mine出現(xiàn)時間2018年 12月針對平臺

Window武漢房產(chǎn)網(wǎng)最新樓盤價格s傳播方式漏洞利用利用的漏洞未知挖礦幣種門羅幣（XMR）4.2.2典型活動研究人員發(fā)現(xiàn)Tor2Mine挖礦組織使用新變種開始傳播2021年12月，研究人員發(fā)現(xiàn)Tor2Mine使用新變種開始傳播，Tor2Mine使用 PowerShell腳本嘗試禁用安全軟件、執(zhí)行挖礦程序并獲取Windows憑據(jù)。

使用這些竊取的憑據(jù)，Tor2Mine 可以主動傳播，如果沒有完全清除或者沒有安全軟件保護，它將繼續(xù)侵害受感染網(wǎng)絡(luò)上的其他系統(tǒng)4.3 TeamTNTTeamTNT是一個針對云主機和容器化環(huán)境進行攻擊的網(wǎng)絡(luò)威脅組織，該組織最早出現(xiàn)于2019年10月，入侵目標(biāo)系統(tǒng)后植入挖礦木馬和僵尸網(wǎng)絡(luò)程序，利用目標(biāo)系統(tǒng)資源武漢房產(chǎn)網(wǎng)最新樓盤價格進行挖礦并組建僵尸網(wǎng)絡(luò)。

經(jīng)過近幾年發(fā)展，該組織控制的僵尸網(wǎng)絡(luò)規(guī)模龐大，所使用的攻擊組件更新頻繁；該組織引起網(wǎng)絡(luò)安全防御方的持續(xù)關(guān)注和跟蹤，對其攻擊活動給予多次披露4.3.1 家族概覽挖礦木馬家族TeamTNT出現(xiàn)時間2019年10月

針對平臺Windows、Linux傳播方式漏洞利用、憑證竊取利用的漏洞Docker Remote API未授權(quán)訪問漏洞挖礦幣種門羅幣（XMR）4.3.2 典型案例TeamTNT對Kubernetes平臺發(fā)起攻擊，近50000個IP遭受攻擊

TeamTNT利用Kubernetes平臺暴露的API接口，寫入并執(zhí)行惡意腳本，安裝門羅幣挖礦程序，部署網(wǎng)絡(luò)掃描工具masscan武漢房產(chǎn)網(wǎng)最新樓盤價格和banner探測工具Zgrab，后續(xù)下載并安裝IRC Bot經(jīng)研究人員監(jiān)測發(fā)現(xiàn)，本次攻擊活動時間在2021年3月至5月間，涉及50000個目標(biāo)IP地址，其中，中國和美國的IP地址命中率最高。

4.4 H2MinerH2Miner挖礦木馬最早出現(xiàn)于2019年12月，爆發(fā)初期及此后一段時間該挖礦木馬都是針對Linux平臺，直到2020年11月后，開始利用WebLogic漏洞針對Windows平臺進行入侵并植入對應(yīng)挖礦程序。

此外，該挖礦木馬頻繁利用其他常見Web組件漏洞，入侵相關(guān)服務(wù)器并植入挖礦程序例如，2021年12月，攻擊者利用Log4j漏洞實施了H2Miner挖礦木馬的投放4.4.1 家族概覽武漢房產(chǎn)網(wǎng)最新樓盤價格挖礦木馬家族H2Miner

出現(xiàn)時間2019年12月針對平臺Windows、Linux傳播方式漏洞利用利用的漏洞SaltStack RCE(CVE-2020-11651)ThinkPHP5 RCEApache Solr’s DataImportHandler (CVE-2019-0193)

Redis未授權(quán)RCEConfluence 未授權(quán)RCE(CVE-2019-3396)WebLogic RCE 漏洞(CVE-2020-14882/14883)Log4j漏洞(CVE-2021-44228)

挖礦幣種門羅幣（XMR）4.4.2 典型案例2021年春節(jié)期間H2Miner挖礦團伙利用多個漏洞武器攻擊云武漢房產(chǎn)網(wǎng)最新樓盤價格上主機2021年春節(jié)期間，H2Miner挖礦團伙趁春節(jié)假期安全運維相對薄弱，利用多個漏洞武器攻擊我國云上主機，并利用失陷主機實施挖礦，大量消耗受害主機CPU資源，嚴(yán)重影響了相關(guān)主機正常服務(wù)運行。

4.5 Satan DDoSSatan DDoS是一個具備DDoS和投放挖礦程序的僵尸網(wǎng)絡(luò)，惡意軟件的作者將他們的惡意軟件稱之為“Satan DDoS”，為了區(qū)別于Satan勒索軟件，Unit42研究人員將其稱為“Lucifer”。

該僵尸網(wǎng)絡(luò)最早出現(xiàn)時間是在2020年5月29日，初期利用CVE-2019-9081漏洞入侵具備Laravel Framework 5.7.x版本組件的服務(wù)器，植入挖礦程序和僵武漢房產(chǎn)網(wǎng)最新樓盤價格尸網(wǎng)絡(luò)程序，實現(xiàn)僵尸網(wǎng)絡(luò)的組建，形成龐大的挖礦和對外DDoS攻擊的能力。

在后期，該僵尸網(wǎng)絡(luò)該利用多個漏洞和暴力破解傳播挖礦程序和擴展僵尸網(wǎng)絡(luò)4.5.1 家族概覽挖礦木馬家族Satan DDoS，又名Lucifer出現(xiàn)時間2020年5月29日針對平臺Windows、Linux

傳播方式漏洞利用和暴力破解利用的漏洞CVE-2014-6287CVE-2018-1000861CVE-2017-10271ThinkPHP RCE漏洞（CVE-2018-20062） CVE-2018-7600

CVE-2017-9791CVE-2019-9081PHPStudy Backdoor RCECVE-2017-01武漢房產(chǎn)網(wǎng)最新樓盤價格44CVE-2017-0145和 CVE-2017-8464挖礦幣種門羅幣（XMR）4.5.2 典型活動

爆發(fā)初期使用CVE-2019-9081漏洞傳播2020年5月29日，Unit 42研究人員從大量CVE-2019-9081漏洞利用事件中，發(fā)現(xiàn)一個具備挖礦功能和DDoS攻擊的惡意樣本，研究人員監(jiān)測到此次惡意樣本傳播活動于2020年6月10日停止。

針對云主機的攻擊活動2021年6月，Satan DDoS僵尸網(wǎng)絡(luò)利用Shiro1.2.4反序列化漏洞對云主機發(fā)起的攻擊活動，新增了針對Linux服務(wù)器的攻擊能力，意圖傳播自身，擴展僵尸網(wǎng)絡(luò)，提升DDoS攻擊和大規(guī)模挖礦能力。

4.6 Sysrv-hel武漢房產(chǎn)網(wǎng)最新樓盤價格loSysrv-hello挖礦木馬最早被發(fā)現(xiàn)于2020年12月3日，初始樣本感染大量服務(wù)器，經(jīng)變種傳播，一直持續(xù)至今該挖礦木馬具備多種功能，如端口掃描功能，Linux網(wǎng)關(guān)探測功能，WebLogic、Tomcat、MySQL等應(yīng)用的RCE漏洞利用功能，植入挖礦木馬功能。

4.6.1 家族概覽挖礦木馬家族Sysrv-hello出現(xiàn)時間2020年12月3日針對平臺Windows、Linux傳播方式漏洞利用利用的漏洞Mongo Express RCE (CVE-2019-10758)

XXL-JOB Unauth RCEXML-RPC (CVE-2017-11610)Saltstack RCE（ CVE-武漢房產(chǎn)網(wǎng)最新樓盤價格2020-16846）ThinkPHP RCEDrupal Ajax RCE（CVE-2018-7600）

挖礦幣種門羅幣（XMR）4.6.2 典型案例Sysrv-hello新增傳播能力，通過感染網(wǎng)頁傳播挖礦程序Sysrv-hello新變種于2021年4月20日開始傳播，經(jīng)分析確認(rèn)，新變種能夠在目標(biāo)系統(tǒng)上檢查是否存在相關(guān)網(wǎng)頁文件或網(wǎng)站目錄，以此判定系統(tǒng)是否提供Web服務(wù)。

若目標(biāo)系統(tǒng)提供Web服務(wù)，則將挖礦木馬移動至對應(yīng)路徑中，并修改其中的網(wǎng)頁文件，實現(xiàn)用戶訪問該網(wǎng)頁時下載并執(zhí)行該挖礦木馬，進一步擴展挖礦木馬傳播范圍4.7 云鏟2021年2月，安天CERT在網(wǎng)絡(luò)安全監(jiān)測中發(fā)現(xiàn)一起針對Linux系統(tǒng)武漢房產(chǎn)網(wǎng)最新樓盤價格挖礦木馬事件。

經(jīng)分析研判，該挖礦木馬自身中硬編碼了一段某云平臺網(wǎng)段IP地址，并對該網(wǎng)段IP地址進行22端口彈出和暴力破解，基于其攻擊特性，安天CERT將該挖礦木馬命名為“云鏟”4.7.1家族概覽挖礦木馬家族云鏟出現(xiàn)時間

2021年針對平臺Linux傳播方式暴力破解利用的漏洞無挖礦幣種門羅幣（XMR）4.8 HolesWarmHolesWarm是一個跨平臺的蠕蟲病毒，最早爆發(fā)于2021年6月，在一個月時間內(nèi)使用了20多種漏洞對目標(biāo)系統(tǒng)進行漏洞利用并植入挖礦木馬。

該蠕蟲病毒使用的漏洞覆蓋的組件和應(yīng)用較多，這些組件和應(yīng)用在國內(nèi)使用頻繁如用友，致遠等OA辦公軟件和Tomcat、WebLogic、Shir武漢房產(chǎn)網(wǎng)最新樓盤價格o、Structs 2等組件4.8.1 家族概覽挖礦木馬家族HolesWarm

出現(xiàn)時間2021年6月針對平臺Windows、Linux傳播方式漏洞利用利用的漏洞Hadoop Yarn 未授權(quán)命令執(zhí)行漏洞用友GRP-U8 注入-命令執(zhí)行漏洞Struts 2 RCE命令執(zhí)行漏洞XXL-JOB未授權(quán)添加任務(wù)命令執(zhí)行漏洞

挖礦幣種門羅幣（XMR）4.8.2 典型案例挖礦木馬中的漏洞利用之王2021年6月上旬以來，在近一個月時間內(nèi)，一個蠕蟲病毒迅速傳播擴散并植入挖礦木馬在此期間利用漏洞多達20余種，漏洞利用的對應(yīng)軟件包括用友、致遠等OA辦公軟件，及其它Tomcat、WebLogic、Structs 2、S武漢房產(chǎn)網(wǎng)最新樓盤價格pring等組件，以至于被業(yè)界稱之為“漏洞利用之王”，該挖礦木馬同時也被命名為“HolesWarm”。