腾讯主机安全（云镜）兵器库：斩杀挖矿木马的利剑-BinaryAI引擎

这一期，我们向朋友们详细介绍腾讯安全技术团队如何利用人工智能方法，开发出BinaryAI引擎对样本文件进行软件成分分析，使未知挖矿木马检测能力大幅提升，目前腾讯主机安全（云镜）已率先集成BinaryAI引擎。

背景

挖矿木马威胁是近年来影响政企网络安全的第一威胁，在大多数情况下，运营挖矿木马的网络黑产，并不像勒索病毒攻击者那样从事极端的破坏行动。他们更愿意长期、稳定控制大量肉鸡电脑，组建僵尸网络挖矿牟利，其中绝大部分以消耗CPU资源的门罗币挖矿占绝对统治地位。

除了大量消耗系统资源挖矿干扰正常服务运行，挖矿木马更严重的潜在风险是普遍在系统留置后门，对政企机构信息安全埋下严重隐患。 受比特币等数字加密币市值波动影响，各种炒币投机活动不断，猖獗的勒索软件犯罪也推动数字加密货币成为网络黑产非法交易的媒介。

2021年，中国政府宣布比特币相关生产、交易为非法，为达到碳达峰碳中和的目标，政府命令关停中国境内一切以获取比特币为目的的矿场。作为达成双碳目标的一部分，国家互联网安全管理机构正在全国范围内严查挖矿木马非法活动，利用木马入侵后挖矿或利用机构主机算力挖矿属于严重违法，会受到法律制裁。 根据腾讯安全威胁情报中心2020年度报告提供的数据，2020年挖矿木马上升趋势十分明显。

传统挖矿木马检测方案包含三个维度

1.静态检测：基于字符串常量、特征检测规则和文件hash的检测方法； 2.动态检测：基于矿池网络连接行为的检测方法； 3.主机层检测：云主机资源异常占用的检测方法。 目前的静态检测只能发现已知挖矿样本，且容易被攻击者绕过。动态检测方案会增加检测成本且对连接私有矿池挖矿的行为无检测能力。主机层的检测会引入主机层的大量告警，多为误报且难以直接定位威胁性质。

BinaryAI引擎检测挖矿木马

基于BinaryAI引擎的挖矿木马检测技术，是腾讯安全科恩实验室联合腾讯安全能力运营团队基于人工智能（AI）方法推出的全新挖矿木马检测解决方案。 BinaryAI引擎针对有限的挖矿组件建立特征库并借助腾讯安全成熟的脱壳技术，通过匹配样本中是否包含挖矿功能语义的函数来实现挖矿样本的静态检测，完成即准确又高效的挖矿木马检测方案。

挖矿木马的主流组件（仅部分）

挖矿木马的主流矿池

BinaryAI引擎使用函数语义向量化表示模型，利用深度学习算法，将函数表示成可以代表其语义的高维向量。得益于腾讯安全数据积累，BinaryAI拥有最大最全的训练数据和业界领先的函数相似度检索结果，该项研究已在AAAI、NeurIPS等国际顶级会议发布。

BinaryAI函数语义向量化表示模型

挖矿木马在行为上具有加密计算、连接矿池通信两大核心功能模块，因此在样本匹配过程中对加密计算和连接矿池通信的模块分别建立挖矿组件函数库。在挖矿组件函数库数据清洗的基础上，首先用库内函数在非挖矿样本集上出现的频率对通用函数完成粗筛，然后基于函数是否挖矿直接相关的原则，对库内的函数进行更细粒度的过滤清洗。 基于前面的样本处理与挖矿组件函数库建立工作，BinaryAI引擎的挖矿木马检测过程只需完成未知样本函数与挖矿组件函数库的语义匹配过程，并通过计算命中比例判定样本属性，实现更高效更准确的挖矿木马检测解决方案。

基于BinaryAI的挖矿木马检测原理

BinaryAI引擎的检测效果

在真实场景中的海量数据构建的测试集上，BinaryAI引擎准确率达到96%。相比传统的挖矿木马静态检测方案，解决了漏报率高的问题，而且因为方案不同的设计原理，具有较好的独报能力。

腾讯主机安全（云镜）已率先接入BinaryAI引擎，可以通过BinaryAI引擎检测未知挖矿木马威胁。未来腾讯安全还有更多主机侧、终端侧安全产品会接入BinaryAI引擎，将BinaryAI的算法能力应用到检测挖矿木马的各个业务场景中。

关于腾讯科恩实验室

腾讯安全科恩实验室(Keen Security Lab of Tencent)成立于2016年1月，作为腾讯集团旗下一支国际一流的信息安全团队，在桌面端安全、移动终端安全等基础安全领域有十多年的积累。近年来，科恩积极布局车联网安全、工业互联网安全和AI安全等前沿方向，技术实力和研究成果达到了国际领先水平。 科恩实验室团队三次摘得国际顶级黑客大赛Pwn2Own总冠军，并打破历史成为首个获得DEF CON CTF赛事冠军的中国团队，在国内CTF比赛中多次获得重量级赛事冠军。科恩实验室全球首发特斯拉、宝马、雷克萨斯、奔驰等知名品牌网联汽车安全研究成果，助力厂商修复安全问题并构建全面的安全体系。护航各行业数字化变革，守护全网用户的信息安全是腾讯科恩实验室的使命。