恶意挖矿攻击现状分析

一、背景

根据绿盟科技《2019年DDoS攻击态势报告》[1]，随着加密货币交易市场的发展，黑市开始将其掌握的“优质”僵尸网络资源从高犯罪成本的DDoS活动中转移投资于犯罪成本相对较低但回报更稳定的加密货币挖矿活动，恶意挖矿攻击逐渐成为最普遍的威胁之一。

本文首先介绍了恶意挖矿攻击的相关知识，然后重点分析了恶意挖矿活动的现状，最后分别对企业和个人提出了一些切实可行的保护措施和建议。

二、关于恶意挖矿攻击的知识

1 定义

恶意挖矿攻击是在用户不知情或未经许可的情况下，利用受害者的系统资源和网络资源进行挖矿，以获取加密货币牟利。它通常出现在企业网站或服务器上，甚至出现在用户的个人手机和家庭智能设备上。

2目标货币

大多数恶意挖矿攻击都针对门罗币。主要有两个原因：

①门罗币的挖矿算法是CPU友好的，可以在普通PC上而不是矿机上挖矿门罗币。今年10月，门罗币官网推出了最新的RandomX挖矿算法[2]，专门针对CPU进行了优化，大大降低了GPU和专用挖矿硬件的优势。

②门罗币本身就是一种高度安全、私密、不可追踪的数字货币。此外，挖掘加密货币的过程本身是完全合法的。挖矿程序运行时，其网络交互只发生在机器与矿池之间。攻击者只需要使用公共矿池，就可以避免暴露自己的网络信息。 .

存在的三种类型

恶意挖矿攻击主要有两种类型：

①基于开源挖矿代码的定制挖矿程序，如XMRig、CNRig、XMR-Stak。其中，XMRig 是一个开源的跨平台门罗币算法挖掘项目。当前版本已更新为V5.3.0+，主要用于CPU挖矿，支持超过38种币种。由于其开源、跨平台和矿币品类的支持，已经成为各类挖矿程序的核心。

②挖掘嵌入恶意JS脚本的网站。网站植入恶意挖矿脚本后，会利用浏览该网站的用户电脑资源进行挖矿牟利。最常见的矿场家族有 Coinhive、Jsecoin 等。值得一提的是，Coinhive 团队已于今年 3 月宣布关闭其加密货币挖矿服务 [3]，他们声称 Coinhive 不再是一项经济服务。不过根据笔者最新的检测结果，在Alexa排名前100W的域名中，仍有数千个Coinhive挖矿域名。

四种感染途径

感染恶意挖矿程序的方式有很多种，主要有以下五种方式：

①常见病毒木马程序的传播方式。如钓鱼诈骗、恶意链接、伪装成普通文件、或捆绑普通应用等。

②暴力破解。攻击者对目标服务器和主机的开放Web服务和应用程序进行暴力破解获取控制权，然后植入恶意挖矿程序。

③漏洞利用。一是远程代码执行漏洞。攻击者会利用N-day漏洞利用程序远程攻击未及时更新系统或组件补丁的主机，并执行相关命令达到植入挖矿程序的目的，如永恒之蓝系列漏洞；另一种是未经授权的访问漏洞。攻击者批量扫描相关服务端口检测存在未授权访问漏洞的主机，并注入执行脚本下载Redis未授权访问漏洞等恶意挖矿程序。

④ 恶意挖矿网站。用户浏览网站时植入了自己不知情的挖矿脚本，为攻击者无偿贡献自己的算力挖矿。关闭网页后恢复正常。

⑤不排除公司内部人员私下利用内网机器资源进行挖矿。

5 个攻击特征

与其他恶意软件相比，恶意矿工在攻击过程中往往表现出两个特征：

①坚持。持久化是指攻击者植入恶意挖矿程序后，通常使用任务调度器（Windows）或Crontab（Linux）设置定期执行任务，并删除定时任务关闭自动系统更新，以确保长期采矿计划的长期运作。 .

②排他性。为了最大限度地利用受感染主机的系统资源，挖矿程序会清理CPU占用率高的进程或其他恶意挖矿程序的进程，删除其他挖矿病毒设置的登录账号和挖矿进程文件，甚至修改hosts文件屏蔽其他恶意挖矿程序的域名访问，即“黑吃黑”的行为。

6 种危害

对于企业：恶意挖矿攻击最直接的影响是导致系统或在线服务运行异常，造成内部网络拥塞，影响在线业务，给使用相关服务的用户带来安全风险。更可怕的是，恶意挖矿程序的植入表明当前企业网络存在未修复的入侵通道，攻击者可能会进行更有害的恶意活动，例如勒索软件攻击。

对于个人而言：恶意挖矿的危害不容小觑。不仅消耗大量网络资源，还直接导致个人设备系统运行不稳定、异常耗电发热，甚至降低设备使用寿命。由于目前手机配置足以提供高算力，市面上嵌入挖矿程序的APP应用较多，恶意挖矿网站也支持移动设备。家用路由器和智能设备也被感染。例如，挖矿蠕虫ADB.Miner[4]利用Android启用的ADB调试接口监控5555端口，传播恶意挖矿程序。

三、恶意挖矿活动现状分析

基于绿盟科技可管理服务中的各种安全告警数据，我们分析了挖矿活动的总体趋势、具体的挖矿行为、受害行业、常见的挖矿端口和挖矿网页。详情如下。

1总体趋势

我们对2019年公司内的挖矿活动和挖矿主机数量进行了统计分析，发现挖矿的热度与挖矿市场情况正相关。

图1 2019年企业内部挖矿活动趋势

如图1所示，2月，华尔街银行巨头摩根大通宣布推出“JPM Coin”[5]，财富500强公司安富利成为第三大接受比特币支付的科技公司[6]这些信号提示黑客正蜂拥进行恶意挖矿活动。 5 月国内挖矿现状，全球最大交易所的 Binance 钱包中有 7,000 个比特币被盗 [7]。交易所的安全性引发了投资者的恐慌，导致矿场人气在短时间内急剧下滑。 7 月，Facebook 发布了 Libra 白皮书[8]。全球监管层层出不穷，币圈引发全球关注。比特币价格也暴涨至1.$2W，挖矿活动也升温到白热化阶段。 10 月，被誉为资金进入加密货币市场的重要渠道的 Bakkt 交易所 [9] 开局令人失望，随后国内多家交易所关闭，市场再次受到打击，挖矿活动也略有下降。

2 挖矿行为分析

图2挖矿行为分析

门罗币是一种无法追踪的匿名加密货币，使其成为暗网市场上流通最多的加密货币之一。如图2所示，通过对全年具体挖矿活动的进一步分析，发现60%的挖矿行为是针对门罗币挖矿程序请求矿池域名地址的。排名第二的Wannamine蠕虫在年初有一个新的变种WannaMine4.0，但攻击方式保持不变。它仍然利用“永恒之蓝”漏洞感染大量内网主机进行恶意挖矿。

3 受害行业分析

关注恶意挖矿受害者的行业分布。如图3所示，传统中小企业是入侵挖矿的重灾区，占比高达80%。攻击者经常通过批量扫描常见的安全漏洞来入侵和控制挖矿主机。可见，企业中的相关维护人员还缺乏基本的安全意识。

图 3 矿业受害者行业分析

4 常见挖矿端口分析

除了80443端口外，攻击者经常会选择一些稀有的端口作为与矿池连接和通信的端口。如图4所示，3333端口是挖矿程序最常用的端口。此外，通过端口范围分析可知，3000-3999之间的端口是挖矿程序最常用的端口，该范围的端口占所有挖矿端口的43%，其次是5000-5999 之间。占 13%。具体的挖矿端口和矿池地址是攻击者恶意挖矿的特征之一。企业可以封锁相关的挖矿端口来实现保护。

图 4 挖矿活动常用端口

5 挖掘网页分析

挖矿网页通常嵌入与挖矿相关的唯一字符串。通过分析Alexa排名前100W的网页源代码，共发现2567个挖矿域名。这些网页的主要目标货币是门罗币。币，最常用的挖矿脚本是Coinhive挖矿脚本。

如图5所示，挖矿网页分散在各个Alexa排名区间，排名前10W的网页包括330个挖矿网页。挖矿的收益与网页的访问量直接相关。访问者越多，Alexa排名越高，挖矿收益也越高。

图5 Alexa挖矿页面排名

通过分析这些挖掘网页的网页类型，如图6所示，商业和娱乐网站是主体，分别占22%和19%。此类网站通常具有高流量。此外，也有网页所有者主动将挖矿脚本嵌入到个人网站或博客中，利用访问者的计算机资源来增加自己的挖矿收益的情况，但这种做法会极大地影响用户体验。

图 6 挖掘网页类型

四、保障措施和建议

2019年下半年，采黑生产活动增多，采集的样本种类也越来越多。例如，Mykings等几家大型挖矿僵尸网络使用的挖矿木马近期不断更新，显示行踪越来越多。隐蔽性更强，横向穿透能力更强，模块集成度更高。为了防止大家的电脑被恶意挖矿“奴役”，我们总结了以下保护措施和建议：

对于企业：

①对于未被入侵的服务器，注意msSQL、Telnet等服务的弱密码，使用高强度密码作为唯一密码，同时注意避免一个密码多次使用。

②不要随意打开不需要的服务和端口。开放服务是黑客入侵的前提。从目前僵尸网络的攻击重点来看，特别要注意开放135、139、445、1433端口。永恒之蓝系列漏洞仍然是对企业内网的巨大威胁。

③及时更新服务器操作系统及相关服务的重要补丁，可以防止大多数企业的恶意挖矿攻击。

④定期关注服务器运行状态，及时检查CPU使用率、定时任务可疑项、启动项、不必要的系统账号等，避免对服务器的恶意挖矿。

对于个人：

①提高自我安全意识，不随意打开来历不明的程序、文档、邮件，不随意点击可疑链接，不向电脑安装来源不明的可疑软件。

②越来越多的物联网设备上安装恶意挖矿软件，家庭网络摄像头、路由器、打印机等可能被黑客利用进行恶意挖矿。作为普通用户，最有效的保护措施就是更改设备的默认密码，防止黑客进行爆破攻击。

③浏览网页时注意电脑状态。如果您在浏览网页时发现浏览器占用的CPU使用率飙升，请及时关闭网页。

④ 定期使用杀毒软件扫描系统中的关键位置，例如重点检查“C:/Windows/debug”、“C:/Windows/system”、“C:/Windows”等目录/温度”。

参考链接：

[1]。绿盟科技2019 DDoS攻击态势报告，

[2].门罗币官网，

[3].Coinhive 关闭操作，

[4].ADB.Miner，

[5]。摩根大通推出“JPM Coin”，%20Coin

[6].Avnet 接受比特币支付，

[7].Binance 钱包被盗，

[8].Libra 白皮书，

[9].Bakkt 交易所，

关于网格实验室

格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。致力于面向场景、以智能设备为中心的漏洞挖掘、研究和安全分析，专注于物联网资产、漏洞和威胁分析。发表了多篇研究报告国内挖矿现状，包括《物联网安全白皮书》、《2017物联网安全年度报告》、《2018物联网安全年度报告》、《2019物联网安全年度报告》、《物联网安全年度报告》 《国内物联网资产曝光》、《智能设备安全分析手册》等。联合产品团队推出绿盟科技物联网安全风控平台，定位运营商行业物联网卡风险管控；推出固件安全检测平台，快速发现设备可能存在的漏洞，避免因密码弱、溢出等漏洞导致设备控制权限泄露。