恶意挖矿攻击现状分析

一、背景

据绿盟科技《2019年 DDoS攻击态势报告》[1]称，随着加密货币交易市场的发展，黑产开始将掌握的“优质”Botnet 资源从犯罪成本较高的DDoS 活动转而投向犯罪成本相对较低、但收益更稳定的加密货币挖掘活动中，因而，恶意挖矿攻击已逐渐成为目前影响最为广泛的威胁攻击之一。

本文首先介绍了恶意挖矿攻击相关知识，然后重点分析恶意挖矿活动的现状，最后分别针对企业和个人分别提出了一些实用的防护措施和建议。

二、 恶意挖矿攻击相关知识

1定义

恶意挖矿攻击，就是在用户不知情或未经允许的情况下，占用受害者的系统资源和网络资源进行挖矿，从而获取加密货币牟利。其通常发生在企业网站或服务器中，甚至在用户的个人手机和家用智能设备上。

2目标币种

大部分恶意挖矿攻击的目标币种都是门罗币。原因主要有两点：

①门罗币的挖矿算法属于CPU友好型，它使得门罗币可以在普通PC上而并非必须是矿机上进行挖掘。在今年10月，门罗币官网启用最新的RandomX挖矿算法[2]，它专门针对通过CPU进行优化，极大地降低GPU以及专用挖矿硬件的优势。

②门罗币本身就是一种高度安全，隐私且无法追踪的数字货币。另外，开采加密货币的过程本身是完全合法的，当挖矿程序被运行后，其网络交互只发生在本机与矿池之间，攻击者只需使用公共矿池即可避免暴露自身的网络信息。

3存在类型

目前存在的恶意挖矿攻击主要有两种类型：

①基于开源的挖矿代码的定制化挖矿程序，如XMRig，CNRig，XMR-Stak。其中XMRig是一个开源的跨平台的门罗算法挖矿项目，目前版本已更新到 V5.3.0+，其主要针对CPU挖矿，并支持38种以上的币种。由于其开源，跨平台和挖矿币种类别支持丰富，它已经成为各类挖矿程序的核心。

②嵌入恶意JS脚本的挖矿网站。网站被植入恶意挖矿脚本后，会利用浏览该网站的用户计算机资源进行挖矿获利。最常见的挖矿网站家族有Coinhive，Jsecoin等。值得一提的是，Coinhive团队已经在今年3月份宣布关闭其加密货币挖矿服务[3]，他们声称Coinhive已经不再是个具备经济效益的服务。但是据笔者最新的检测结果发现，Alexa排名前100W的域名中依然存在上千个Coinhive挖矿域名。

4感染方式

恶意挖矿程序感染手段花样繁多，主要有以下五种方式：

①常见病毒木马程序的传播方式。比如钓鱼欺诈，恶意链接，伪装成普通文件，或与正常应用程序捆绑等等。

②暴力破解。攻击者针对目标服务器和主机开放的Web服务和应用进行暴力破解获得控制权限，然后植入恶意挖矿程序。

③漏洞利用。一种是远程代码执行漏洞，攻击者会利用N-day的漏洞利用程序，对未及时更新系统或组件补丁的主机进行远程攻击，并执行相关命令以达到植入挖矿程序的目的，比如永恒之蓝系列漏洞；另一种是未授权访问漏洞，攻击者对相关服务端口进行批量扫描探测具有未授权访问漏洞的主机，注入执行脚本下载恶意挖矿程序，比如Redis未授权访问漏洞。

④恶意挖矿网站。用户在不知情的情况下，浏览被植入挖矿脚本的网站，从而无偿贡献自己的算力为攻击者挖矿，关闭网页后恢复正常。

⑤不排除公司内部人员私自利用内网机器的资源进行挖矿。

5攻击特性

相比于其他恶意软件，恶意挖矿程序在攻击过程中往往表现出两个特性：

①持久性。持久性是指攻击者植入恶意挖矿程序后，通常会使用任务计划(Windows)或者Crontab(Linux)设置周期性执行任务，而且会删除计划任务关闭系统自动更新，确保挖矿程序的长期运行。

②独占性。为了最大化利用感染主机的系统资源，挖矿程序会清理CPU占用高的进程或其他恶意挖矿程序的进程，删除其他挖矿病毒设置的登陆账户和挖矿进程文件，甚至会修改hosts文件屏蔽其他恶意挖矿程序的域名访问，即“黑吃黑”的行为。

6危害

针对企业而言：恶意挖矿攻击最直接的影响就是会导致系统或在线服务运行状态异常，造成内部网络拥堵，影响线上业务，以及对使用相关服务的用户造成安全风险。更可怕的是恶意挖矿程序的植入说明当前企业网络存在未被修复的入侵渠道，攻击者可能会实施更具有危害性的恶意活动，比如勒索攻击等。

针对个人而言：恶意挖矿带来的危害也不容小觑，它不仅会消耗大量网络资源，而且直接造成个人设备系统运行不稳定，异常耗电发热，甚至减少设备使用寿命。由于现在手机的配置足以提供很高的算力，市场上出现了很多内嵌有挖矿程序的APP应用，恶意挖矿网站同样也都支持手机设备。家用路由器和智能设备也存在被感染的情况，比如挖矿蠕虫ADB.Miner[4]就是利用安卓开启的监听5555端口的ADB调试接口传播恶意挖矿程序的。

三、恶意挖矿活动现状分析

基于绿盟科技可管理服务中的各类安全告警数据，我们分别针对挖矿活动整体趋势、具体挖矿行为、受害者行业、挖矿常用端口以及挖矿网页进行了分析，详情如下。

1整体趋势

我们对2019年企业内部的挖矿活动和挖矿主机数进行统计分析，发现挖矿的热度与挖矿市场形势呈正相关。

图1 2019年企业内挖矿活动趋势

如图1所示，2月份，华尔街银行巨头摩根大通宣布推出“JPM Coin”[5]，财富500强企业安富利成为第三大接受比特币支付的科技公司[6]，这些信号促使黑客们对恶意挖矿活动趋之若鹜。5月份，全球最大的交易所币安钱包被盗取7000比特币[7]，交易所安全性引发投资者恐慌，这导致挖矿市场的热度短时间内大幅度下降。7月份，Facebook发布Libra白皮书[8]，全球监管机构纷纷发声，币圈引起全球关注，比特币价格也随之疯涨至1.2W美元，挖矿活动也增长至白热化阶段。10月份，被吹捧为资金进入加密货币市场的重要渠道-Bakkt交易所[9]的开局令人失望，紧接着多家境内交易平台被关，市场再次受到冲击，挖矿活动也稍有减少。

2挖矿行为分析

图 2 挖矿行为分析

门罗币是一种不可追踪的匿名加密货币，因此它成为了暗网市场上最流通的加密货币之一。如图2所示，通过对全年具体的挖矿活动进一步分析，发现60%的挖矿行为都是针对门罗币的挖矿程序请求矿池域名地址。排名第二的Wannamine蠕虫病毒在年初有了新的变种WannaMine4.0，但攻击手法不变，依然是利用“永恒之蓝”的漏洞感染大量内网主机从而进行恶意挖矿。

3受害者行业分析

关注恶意挖矿受害行业分布。如图3所示，中小传统企业是被入侵挖矿的重灾区，占比高达80%。而攻击者往往是通过批量扫描常见安全漏洞进而入侵并控制挖矿主机的，可见企业内相关维护人员依然缺乏基本的安全意识。

图 3 挖矿受害者行业分析

4挖矿常用端口分析

除了80,443端口，攻击者往往会选择一些比较罕见的端口作为与矿池连接通信的端口。如图4所示，3333端口是挖矿程序最常用的端口。另外，通过对端口区间分析得知，3000-3999之间的端口是挖矿程序最常用的端口范围，该区间的端口占所有挖矿端口的43%，其次是5000-5999之间的端口，占比13%。特定的挖矿端口和矿池地址是攻击者进行恶意挖矿的特征之一，企业可以屏蔽相关挖矿端口来实现防护。

图 4 挖矿活动常用端口

5挖矿网页分析

挖矿网页中往往会嵌入挖矿相关的特有字符串，通过对Alexa排名前100W网页的源代码进行分析，共发现2567个挖矿域名，这些网页挖掘的主要目标币种是门罗币，使用最多的挖矿脚本是Coinhive类挖矿脚本。

如图5所示，挖矿网页遍布在各个Alexa排名区间，其中排名前10W的网页中就包含330个挖矿网页。挖矿的收益和网页的访问量直接相关。访问者越多，Alexa排名就越靠前，挖矿收益也越高。

图 5 挖矿网页Alexa排名

通过分析这些挖矿网页的网页类型，如图6所示，商业娱乐类网站是主体，分别占比22%，19%，这类网站往往自带有较高的访问流量。另外，存在网页所有者主动将挖矿脚本嵌入到个人网站或博客中的情况，使用访客的计算机资源增加自己的挖矿收益，不过这种做法会极大影响用户体验。

图 6 挖矿网页类型

四、防护措施和建议

2019下半年挖矿黑产活跃度呈增长趋势，捕获的样本种类也日益增多，诸如Mykings的几个大型挖矿僵尸网络所使用的挖矿木马最近都在不断更新，呈现出行踪更隐蔽、横向渗透能力更强、集成模块更多的特点。为了避免大家的计算机成为遭恶意挖矿的“奴役”，我们总结出以下防护措施和建议：

对于企业而言：

①对于未遭到入侵的服务器，注意msSQL，Telnet等服务的弱口令问题，使用高强度密码作为唯一口令，同时也要注意避免一密多用。

②对于无需使用的服务和端口不要随意开放，开放的服务是黑客入侵的前提。从僵尸网络当前的攻击重点来看，需要特别关注135、139、445、1433端口的开放情况，永恒之蓝系列漏洞对企业内网依然是巨大威胁之一。

③及时为服务器操作系统和相关服务更新重要补丁可以阻挡大部分企业内的恶意挖矿攻击。

④定期关注服务器运行状况，从CPU使用率、定时执行任务可疑项、开机启动项、不必要的系统账户等方面及时排查避免服务器遭受恶意挖矿。

对于个人而言：

①提高自我安全意识，不随意打开来源不明的程序、文档、邮件，不随意点击可疑的链接，不要从不受信任的来源安装可疑的软件到计算机。

②越来越多的恶意挖矿软件被安装在物联网设备上，家用网络摄像头、路由器、打印机都有可能被黑客用来恶意挖矿。作为普通用户，最有效的防护措施就是修改设备默认密码以防止黑客进行爆破攻击。

③注意浏览网页时的电脑状况，若发现浏览网页时浏览器占用的CPU使用率飙升，那么及时关闭该网页。

④定期使用反病毒软件进行系统关键位置扫描，比如重点检查 “C:/Windows/debug”、“C:/Windows/system”和“C:/Windows/Temp”等目录。

参考链接：

[1].绿盟科技2019年 DDoS攻击态势报告，http://blog.nsfocus.net/wp-content/uploads/2019/12/2019-DDoS.pdf

[2].门罗币官网，https://minexmr.com/

[3].Coinhive关闭运营，https://cointelegraph.com/news/crypto-mining-service-coinhive-to-shut-down-operations-in-march

[4].ADB.Miner，https://www.freebuf.com/articles/terminal/162096.html

[5].摩根大通推出“JPM Coin” ，https://www.cnbc.com/video/2019/02/14/jp-morgan-rolling-out-its-own-cryptocurrency.html?&qsearchterm=JPM%20Coin

[6].安富利接受比特币支付，https://www.avnet.com/wps/portal/us/products/c/bitpay

[7].币安钱包被盗，https://www.zdnet.com/article/hackers-steal-41-million-from-cryptocurrency-exchange-binance

[8].Libra白皮书，https://libra.org/zh-CN/white-paper/

[9].Bakkt交易所，https://www.bakkt.com/index

关于格物实验室

格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向，智能设备为中心的漏洞挖掘、研究与安全分析，关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告，包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台，定位运营商行业物联网卡的风险管控；推出固件安全检测平台，以便快速发现设备中可能存在的漏洞，以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。

内容编辑：格物实验室 周鸿屹 责任编辑：肖晴