挖矿木马病毒危害巨大

挖矿木马不是所谓“良性”病毒，除了影响系统运行速度，让资源占用率飙升，挖矿木马还会普遍留置后门，中了挖矿木马，企业机密信息就岌岌可危了。今天这篇文章让大家详细了解下挖矿木马。

比特币、山寨币与挖矿木马

比特币是以区块链技术为基础的虚拟加密货币，比特币具有匿名性和难以追踪的特点，经过十余年的发展，已成为网络黑产最爱使用的交易媒介。大多数勒索病毒在加密受害者数据后，会勒索代价高昂的比特币。比特币在2021年曾达到1枚6.4万美元的天价，比特币的获得需要高性能计算机（又称矿机，一般配置顶级CPU和GPU）按特定算法计算，计算的过程被形象的称为“挖矿”。

矿机价格昂贵，为生产比特币，有人不惜重金购置大量矿机组成网络集群挖矿。挖矿又非常耗电，因此矿场往往会寻找偏僻地区的小水电、小火电而建，因为电费便宜，有人为节约成本偷电挖矿。

当数字加密币市值暴涨时，挖矿业务会水涨船高，高端CPU、GPU、高端显卡、大容量硬盘被炒上天价还卖断货。目前，我国政府宣布要实现碳达峰碳中和的目标，严重耗能的虚拟加密币相关生产、交易被认定为非法，我国境内所有（生产加密货币的）矿场必须关闭。

因挖矿需要大量财力投入，从一开始，就有人想到利用木马控制他人的计算机组建僵尸网络集群挖矿的办法，这就是所谓“挖矿木马”。因比特币的获得（挖矿）难度越来越大，诞生了模仿比特币的其他山寨加密币，比如门罗币、莱特币、还有马斯克超喜欢的狗狗币等等。其中挖矿木马最爱门罗币（XMR），自诞生以来，门罗币市值不断上升，目前已超过10亿美元。

严重低估的挖矿木马危害

新基建推动企业全面数字化，越来越多的政企机构将业务上云，公共服务、生产生活各方面效率由此快速提高，人人成为数字化的受益者。与此同时，数字化转型过程中出现新的安全风险，比如信息泄露几乎影响每一个人。人们对数字化系统的依赖，对系统稳定运行有极高的要求。如果业务服务因故中断，会给社会功能正常运转带来很多麻烦。

挖矿木马攻击，就是发生率较高，极可能造成业务系统中断的一类威胁，是最常见的网络攻击。根据德迅云安全团队最新检测结果，在公有云的攻击事件当中，以挖矿为目的的入侵占比54.9%，已超过一半。有境外科技媒体报道，挖矿木马攻击在所有安全事件中超过25%。

黑客通过各种技术手段传播扩散挖矿木马，木马控制的计算机越多，木马生存时间越长，获得的挖矿收益也就越多。挖矿木马最明显的影响是大量消耗系统资源，使系统其他软件或服务运行缓慢，性能变差。云主机若被挖矿木马入侵，正常服务可能因性能变差而速度变慢，甚至服务崩溃中断，管理员通过top -c命令查看系统进程，会发现CPU占用超高。

挖矿木马为实现长期驻留隐蔽挖矿的目标，会采用很多技巧。德迅云安全专家分析发现，有挖矿木马会设置一个占用系统资源的上限，比如不超过80%。部分挖矿木马设计了检测系统工具运行的能力，当检测到进程管理器启动时，挖矿进程马上停止。或只在电脑黑屏时挖矿，有人操作电脑时退出等等。还有其他一些复杂的技巧，包括隐藏进程，或替换、伪装系统进程，欺骗管理员排查等。

很多人认为挖矿木马只不过让系统变慢，消耗系统资源，不会有破坏性后果。这种看法严重低估了挖矿木马的危害，挖矿木马的影响远不止这些。

德迅云安全团队日常运营中分析了大量挖矿木马家族，除了大量消耗受害者主机计算机资源，干扰正常业务运行。挖矿木马普遍具备以下行为：

添加SSH免密登录后门

添加具备管理员权限的帐户

安装IRC后门，接受远程IRC服务器的指令

支持替换多个系统工具：ps、top、pstree等

安装Rootkit后门

关闭Linux/Windows防火墙

关闭Windows Defender

卸载云主机安全防护软件

添加定时任务、添加启动项

清除系统日志

以上这些行为会严重威胁服务器安全，挖矿木马控制者随时可能窃取服务器机密信息，控制服务器进行DDoS攻击，或以失陷服务器为跳板攻击其他计算机，甚至可以在任何时候释放勒索病毒彻底瘫痪服务器。关闭、卸载防火墙和主机安全软件的行为，会让受害主机安全防护能力消失，导致服务器被其他黑产团伙入侵控制的可能性倍增。

挖矿木马的目标除了云主机，还有一类数量分布极广的设备：IoT智能设备，包括智能路由器、网络摄像头等等。这类设备性能虽差，但数量庞大，因此被部分挖矿木马传播者所利用。

IoT设备制造商较多使用开源系统，自身安全能力相对不足，所用组件的高危漏洞修复困难。同时，使用这类设备用户也往往对安全风险考虑不多，积极主动修复漏洞的较少。导致大量IoT设备因漏洞被入侵持续控制，直至用户淘汰旧设备更换新设备。被控制的IoT设备，除了用于挖矿，也被用来搜集隐私信息、通过DDoS攻击来非法获利。

挖矿木马入侵通道

利用漏洞武器和弱密码爆破攻击，是挖矿木马攻击传播最常用的两类方法。供应链攻击的案例也时有发生，虽说案例较少，但具备影响面大的特点。

邦润科技安全团队日常分析大量挖矿木马家族，不少挖矿木马十分勤奋，特别擅长利用流行漏洞攻击武器入侵。当一个利用难度较低适用面广的高危漏洞出现时，会发现一群挖矿木马团伙如发现金矿一般火速（通常从漏洞公开到漏洞利用，就几天）蜂涌而至。