吳海燕?胡金坤?陳亞亮

摘要：本文就挖礦木馬的入侵方式、傳播途徑、行為特征、危害、挖礦流量特征等方面進(jìn)行了研究，并跟蹤分析了在上海地區(qū)活躍的挖礦木馬團(tuán)伙。同時(shí)，本文還基于網(wǎng)絡(luò)流量進(jìn)行特征分析，最后提出了有效的防護(hù)建議，以維護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全。挖礦木馬已經(jīng)給大量受害人造成了經(jīng)濟(jì)損失，同時(shí)也威脅著網(wǎng)絡(luò)的安全，妨害國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展。因此，我們需要對(duì)挖礦木馬進(jìn)行深入了解和研究，以便更好地應(yīng)對(duì)挖礦木馬的威脅。

關(guān)鍵詞：挖礦木馬；區(qū)塊鏈

特征分析自2009年比特幣誕生以來(lái)，其經(jīng)濟(jì)價(jià)值和影響力不斷擴(kuò)大，各種類型和用途的虛擬貨幣相繼涌現(xiàn)，如以太坊、門(mén)羅幣、萊特幣、樹(shù)圖幣等。這些虛擬貨幣不是由特定的貨幣發(fā)行機(jī)構(gòu)發(fā)行的，而是使用密碼學(xué)原理產(chǎn)生和交易。通過(guò)消耗計(jì)算或存儲(chǔ)資源執(zhí)行工作或采用其他類似算法獲得虛擬貨幣的過(guò)程被稱為“挖礦”，該名稱源自對(duì)采礦的比喻，進(jìn)行“挖礦”工作的人通常稱為“礦工”。由于主動(dòng)挖礦成本高昂，一些不法分子采用網(wǎng)絡(luò)攻擊手段，將挖礦程序植入被控制的主機(jī)，利用受害者主機(jī)的算力和資源進(jìn)行挖礦。這種植入受害者主機(jī)的挖礦程序被稱為“挖礦木馬”。挖礦木馬通常會(huì)消耗大量硬件資源，導(dǎo)致感染主機(jī)運(yùn)行變慢，影響正常業(yè)務(wù)運(yùn)行。虛擬貨幣給黑灰產(chǎn)團(tuán)伙提供了一個(gè)有效便捷的變現(xiàn)方式，挖礦木馬風(fēng)險(xiǎn)小、門(mén)檻低、收益高，黑產(chǎn)團(tuán)伙持續(xù)對(duì)其升級(jí)，不斷集成新的攻擊手法和更加成熟的對(duì)抗手段。這不僅對(duì)受害者造成巨大的經(jīng)濟(jì)損失，也嚴(yán)重地威脅到了網(wǎng)絡(luò)安全，妨害國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展。

一、挖礦木馬

（一）種類類型

根據(jù)挖礦木馬運(yùn)行環(huán)境主要可以分為兩種類型[1]。

①基于瀏覽器運(yùn)行。該類型通常是將一段惡意 JavaScript 代碼嵌入到網(wǎng)頁(yè)中，在訪問(wèn)該頁(yè)面的用戶機(jī)器上執(zhí)行挖礦指令。這種類型的典型代表是 Coinhive，Coinhive 發(fā)布了可以嵌入網(wǎng)頁(yè)運(yùn)行的門(mén)羅幣挖礦代碼，許多網(wǎng)站運(yùn)營(yíng)者將其作為替代廣告的牟利方式。高峰時(shí)期有3萬(wàn)多個(gè)網(wǎng)站嵌入了Coinhive 挖礦代碼，每月約有1000萬(wàn)受害者。隨著2019年Coinhive關(guān)閉，該類型挖礦流量急劇下降。

②基于主機(jī)運(yùn)行。該類型通常是將惡意程序植入受害者主機(jī)中運(yùn)行，通過(guò)設(shè)置計(jì)劃任務(wù)或修改注冊(cè)表項(xiàng)實(shí)現(xiàn)持久化，長(zhǎng)期進(jìn)行加密貨幣的挖礦作業(yè)。有部分挖礦木馬為了對(duì)抗檢測(cè)，采用內(nèi)存馬技術(shù)，具有無(wú)文件、不落地、難檢測(cè)的特點(diǎn)。據(jù)統(tǒng)計(jì)，XMRig是2022 年全球最常檢測(cè)到的加密挖礦惡意軟件，四分之三的企業(yè)用戶受其影響。

（二）入侵方式[2]

①網(wǎng)頁(yè)掛馬。攻擊者通過(guò)在網(wǎng)頁(yè)內(nèi)嵌入挖礦 JavaScript 腳本，使用戶在進(jìn)入網(wǎng)頁(yè)后，腳本會(huì)自動(dòng)執(zhí)行。這種方式通常用于瀏覽器挖礦，同時(shí)也有些挖礦木馬存在，它們會(huì)誘導(dǎo)用戶下載到本地執(zhí)行。

②網(wǎng)絡(luò)釣魚(yú)。攻擊者將木馬程序偽裝成正規(guī)軟件或熱門(mén)文件，并通過(guò)社交軟件或郵件發(fā)送給受害者。一旦受害者打開(kāi)相關(guān)軟件或文件，就會(huì)激活木馬程序，從而使攻擊者獲得對(duì)受害者計(jì)算機(jī)的控制。

③口令爆破。攻擊者通過(guò)暴力破解的方法嘗試使用可能的密碼組合進(jìn)行登錄，通常會(huì)針對(duì)SSH、RDP、Redis、MSSQL等服務(wù)進(jìn)行口令爆破。當(dāng)攻擊者成功登錄后，他們會(huì)嘗試獲取系統(tǒng)權(quán)限，并在受害者計(jì)算機(jī)上植入挖礦木馬并設(shè)置持久化，從而不斷進(jìn)行挖礦活動(dòng)并獲取收益。這種攻擊對(duì)于一些沒(méi)有采用嚴(yán)格的密碼策略以及多因素認(rèn)證措施的系統(tǒng)特別危險(xiǎn)。

④漏洞利用。攻擊者會(huì)利用系統(tǒng)或軟件應(yīng)用程序中的漏洞來(lái)入侵目標(biāo)系統(tǒng)。這些漏洞包括操作系統(tǒng)漏洞、應(yīng)用服務(wù)漏洞或中間件漏洞等，攻擊者利用系統(tǒng)漏洞快速獲取相關(guān)服務(wù)器權(quán)限植入挖礦木馬，是目前最為普遍的傳播方式之一。

⑤供應(yīng)鏈攻擊。攻擊者在合法軟件正常傳播和升級(jí)過(guò)程中，利用軟件供應(yīng)商的各種疏忽或漏洞，對(duì)合法軟件進(jìn)行劫持或篡改，從而繞過(guò)傳統(tǒng)安全產(chǎn)品檢查，進(jìn)而植入挖礦木馬。

⑥利用僵尸網(wǎng)絡(luò)。對(duì)于攻擊者來(lái)說(shuō)，利用已有的僵尸網(wǎng)絡(luò)傳播挖礦木馬是一種快捷的變現(xiàn)手段，此外攻擊者還可以利用僵尸網(wǎng)絡(luò)劫持剪切板，監(jiān)控用戶復(fù)制粘貼的地址，將地址替換成攻擊者的地址，從而實(shí)現(xiàn)錢(qián)包地址的盜取。

（三）行為特征

挖礦木馬顯著的行為特征，首先是極大地占用了CPU和GPU資源。主要包括高CPU和GPU使用率、響應(yīng)速度慢、系統(tǒng)崩潰或頻繁重新啟動(dòng)、系統(tǒng)過(guò)熱、異常網(wǎng)絡(luò)活動(dòng)等。其次是在網(wǎng)絡(luò)流量中，挖礦木馬通信過(guò)程采用專門(mén)的通信協(xié)議，具有一定的網(wǎng)絡(luò)通信特征。

1.主機(jī)側(cè)

挖礦木馬主機(jī)側(cè)的檢測(cè)主要依據(jù)是對(duì)應(yīng)進(jìn)程CPU使用率長(zhǎng)時(shí)間居高不下，部分挖礦木馬采用多方式隱藏進(jìn)程并具備多種持久化駐留方式。

①針對(duì)不具備隱藏進(jìn)程功能的挖礦木馬檢測(cè)：Windows系統(tǒng)使用任務(wù)管理器查看；Linux系統(tǒng)使用命令top -c查看。

②針對(duì)具備隱藏進(jìn)程功能的挖礦木馬檢測(cè)：Windows系統(tǒng)主機(jī)可使用 ProcessExplorer 、ProcessHacker、PcHunter等軟件查看系統(tǒng)所有進(jìn)程及其進(jìn)程關(guān)系，依據(jù)CPU使用率篩選可疑進(jìn)程。然后再進(jìn)一步在主機(jī)上排查該可疑進(jìn)程的網(wǎng)絡(luò)連接，計(jì)算可疑進(jìn)程對(duì)應(yīng)文件Hash，通過(guò)公開(kāi)的威脅情報(bào)平臺(tái)進(jìn)行查詢，綜合判定結(jié)果。

2.網(wǎng)絡(luò)側(cè)

挖礦木馬感染主機(jī)和礦池的通信過(guò)程，最常使用的是Stratum協(xié)議。該協(xié)議內(nèi)容為JSON數(shù)據(jù)格式，包含多個(gè)固定的特征字段。在檢測(cè)過(guò)程中，可使用抓包軟件如Wireshark等分析TCP通信內(nèi)容。

礦池主要有公開(kāi)礦池和私有礦池。礦池地址通常由域名+端口或IP地址+端口組成。域名中可能存在一些特殊字符串，如：Pool、Xmr、Mine等。在檢測(cè)過(guò)程中，可結(jié)合威脅情報(bào)和對(duì)應(yīng)通信內(nèi)容進(jìn)行綜合判定。

（四）主要危害

近年來(lái)，原本用于DDoS攻擊或者發(fā)垃圾郵件等活動(dòng)的僵尸網(wǎng)絡(luò)出現(xiàn)了一種新的變現(xiàn)方式：虛擬貨幣“挖礦”。攻擊者經(jīng)常在被攻陷的主機(jī)植入挖礦木馬，挖礦木馬的主要危害包括：①對(duì)信息系統(tǒng)基礎(chǔ)設(shè)施資源消耗與運(yùn)行風(fēng)險(xiǎn)的加重。挖礦木馬消耗信息系統(tǒng)基礎(chǔ)設(shè)施大量資源，使操作系統(tǒng)、服務(wù)和應(yīng)用軟件運(yùn)行緩慢。這可能導(dǎo)致正常服務(wù)崩潰，產(chǎn)生業(yè)務(wù)中斷、數(shù)據(jù)丟失和其他負(fù)面影響。②危害信息系統(tǒng)基礎(chǔ)設(shè)施使用壽命與運(yùn)行性能。挖礦木馬迫使信息系統(tǒng)基礎(chǔ)設(shè)施處于長(zhǎng)時(shí)間高負(fù)載運(yùn)行狀態(tài)，這可能縮短其使用壽命并嚴(yán)重降低其運(yùn)行性能。③浪費(fèi)能源和增加碳排放量：挖礦木馬挖礦需要消耗大量電能，這會(huì)導(dǎo)致高額能源消耗。而現(xiàn)階段我國(guó)電能的主要來(lái)源是煤炭發(fā)電，因此，其挖礦操作對(duì)碳排放的污染有負(fù)面影響。④留置后門(mén)，衍生僵尸網(wǎng)絡(luò)。挖礦木馬經(jīng)常具有添加SSH免密登錄后門(mén)、安裝RPC后門(mén)，接收遠(yuǎn)程IRC服務(wù)器指令以及安裝Rootkit后門(mén)等惡意行為。這可能造成受害組織網(wǎng)絡(luò)淪為僵尸網(wǎng)絡(luò)。⑤作為攻擊跳板，攻擊其他目標(biāo)。挖礦木馬支持攻擊者控制受害者服務(wù)器進(jìn)行DDoS攻擊。攻擊者可以以該服務(wù)器為跳板攻擊其他計(jì)算機(jī)，并釋放勒索軟件索要贖金等。

二、挖礦網(wǎng)絡(luò)流量

（一）挖礦協(xié)議

挖礦機(jī)器與礦池之間的通信需要遵循特定的協(xié)議[3]。目前主流的挖礦協(xié)議是Stratum協(xié)議，較早之前還有GBT（Get BlockTemplate）協(xié)議和Getwork協(xié)議。

Stratum協(xié)議在2012年推出，是在Getwork協(xié)議的基礎(chǔ)上進(jìn)行改進(jìn)而來(lái)，解決了Getwork協(xié)議效率低下的問(wèn)題。在Stratum協(xié)議中，挖礦機(jī)器與礦池之間采用TCP的形式傳輸數(shù)據(jù)，數(shù)據(jù)傳輸?shù)倪^(guò)程基于JSON-RPC。礦機(jī)使用Stratum協(xié)議的總體工作流程如下：

1.礦機(jī)任務(wù)訂閱

礦機(jī)=〉礦池：Mining.Subscribe

礦池=〉礦機(jī)：Mining.Notify

2.礦機(jī)認(rèn)證

礦機(jī)=〉礦池：Mining.Authorize

礦池=〉礦機(jī)：返回認(rèn)證的結(jié)果，True 或者False

3.設(shè)置難度并通知礦機(jī)工作

礦池=〉礦機(jī)：Mining.Set_Difficulty、Mining.Set_Extranonce、Mining.Notify

4.礦機(jī)提交結(jié)果

礦機(jī)=〉礦池：Mining.Submit

礦池=〉礦機(jī)：返回是否接受結(jié)果，True或者False

由于加密貨幣的種類繁多，不同的加密貨幣采用的通信協(xié)議會(huì)有部分不同。

（二）明文挖礦監(jiān)測(cè)

1.BTC挖礦

BTC挖礦采用了標(biāo)準(zhǔn)的Stratum協(xié)議，其傳輸數(shù)據(jù)采用標(biāo)準(zhǔn)的Json格式，有比較明顯的方法標(biāo)識(shí)，如Mining.Subscribe、Mining.Authorize等。

2.XMR（門(mén)羅幣）挖礦[3]

XMR門(mén)羅幣挖礦流量簡(jiǎn)化了過(guò)程，通過(guò)Login方法來(lái)進(jìn)行認(rèn)證和訂閱，礦池端在接收到Login信息后，如果驗(yàn)證通過(guò)，則會(huì)直接下發(fā)任務(wù)，標(biāo)準(zhǔn)的Stratum協(xié)議的三次通信壓縮為一次，大大減少了通信流量。數(shù)據(jù)包大概分成了兩類，一類是登錄包，一類是提交包具有明顯的特點(diǎn)：①有Jsonrpc的版本標(biāo)識(shí)；②ID字段請(qǐng)求和響應(yīng)相等，并且逐步遞增；③帶有明顯的特征字段，例如Login、Submit、Params、Seed_Hash等。

（三）加密挖礦監(jiān)測(cè)

針對(duì)礦機(jī)與礦池通信的協(xié)議檢測(cè)，目前僅適用于明文通信的情況，而大多數(shù)礦池都已支持加密通信。針對(duì)加密傳輸?shù)那闆r，可以在握手協(xié)議和證書(shū)兩個(gè)層面來(lái)做一些事情。①由于挖礦的特殊性，礦池的域名和證書(shū)通常不會(huì)輕易更改，并且礦池的聚集屬性有助于保證收益的穩(wěn)定性。因此可收集排名靠前礦池的域名和證書(shū)，并通過(guò)空間測(cè)繪技術(shù)運(yùn)用于常用幣種，如門(mén)羅幣等的挖礦木馬監(jiān)控，以發(fā)現(xiàn)公共礦池、私有礦池、P2P礦池、礦池代理等情報(bào)。②挖礦協(xié)議本身具有比較固定的模式，包括礦機(jī)登記、任務(wù)下發(fā)、登錄、結(jié)果提交等。明文通信和加密通信都存在類似的關(guān)系，而且每種命令交互的包大小相對(duì)固定，基于相對(duì)固定的時(shí)序和通信包大小等特征，構(gòu)建加密挖礦特有的行為模型進(jìn)行檢測(cè)。

三、挖礦木馬團(tuán)伙態(tài)勢(shì)特征分析

本文根據(jù)互聯(lián)網(wǎng)上公開(kāi)發(fā)布的挖礦木馬威脅情報(bào)[1，4，5]，對(duì)近期活躍挖礦木馬團(tuán)伙的活動(dòng)情況開(kāi)展了分析研究。

（一）近期活躍挖礦木馬團(tuán)伙

已知多個(gè)威脅組織在我國(guó)境內(nèi)大規(guī)模傳播挖礦木馬。這些威脅組織跟蹤范圍包括“8220”、Outlaw、TeamTNT、H2Miner、Sysrv-hello、“1337”、Kthmimu、Hezb八款典型挖礦木馬團(tuán)伙家族。這些威脅組織的目標(biāo)平臺(tái)包括Windows和Linux系統(tǒng)。它們的傳播方式主要是高危漏洞利用和SSH暴力破解。最常見(jiàn)的漏洞包括WebLogic RCE漏洞（CVE-2020-14882/14883）、Apache Log4j漏洞（CVE-2021-44228）、Redis未授權(quán)訪問(wèn)漏洞等。

（二）挖礦木馬失陷主機(jī)特征

從挖礦木馬團(tuán)伙攻擊目標(biāo)特征看，公共互聯(lián)網(wǎng)上開(kāi)啟了22、135、139、445、3389等端口的主機(jī)是高危目標(biāo)。開(kāi)啟遠(yuǎn)程桌面連接、OpenSSH連接及承載SQLserver、MySQL等數(shù)據(jù)庫(kù)的服務(wù)器均為重點(diǎn)目標(biāo)。此外，許多具有豐富計(jì)算資源和電力資源的數(shù)據(jù)中心及企業(yè)內(nèi)部也是挖礦木馬重災(zāi)區(qū)。

（三）挖礦木馬使用礦池IP情況

以本文關(guān)注的八款挖礦木馬團(tuán)伙家族所涉及的礦池為例，超過(guò)97%的礦池或礦池代理IP來(lái)自中國(guó)大陸境外；礦池IP端口中，除了80、443等常見(jiàn)端口，3333、17777、6666等非常見(jiàn)端口也占一定比例；礦池域名中，c3pool.com（貓池）、supportxmr.com、monerooceans.stream、pwndns.pw等域名非常活躍；最多的礦池地址其對(duì)應(yīng)的門(mén)羅幣錢(qián)包地址高達(dá)近百個(gè)，控制著大量失陷主機(jī)為其挖取門(mén)羅幣。

四、應(yīng)對(duì)建議

挖礦木馬、網(wǎng)頁(yè)挖礦等惡意挖礦，事后都較難通過(guò)手動(dòng)檢測(cè)找到入侵路徑，而且也很難快速排查出高CPU使用率的原因。挖礦木馬可能會(huì)隱藏自身或偽裝成合法的進(jìn)程，以避免被用戶刪除。預(yù)防惡意挖礦的最好方法，是在成為受害者之前采取安全措施。

針對(duì)主機(jī)挖礦木馬，建議采取如下防護(hù)措施：①安裝反病毒軟件，針對(duì)不同平臺(tái)建議安裝Windows/Linux版本。②加強(qiáng)SSH口令強(qiáng)度，避免使用弱口令，建議使用16位或更長(zhǎng)的密碼，包括大小寫(xiě)字母、數(shù)字和符號(hào)在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令。③建議開(kāi)啟自動(dòng)更新功能安裝系統(tǒng)補(bǔ)丁，服務(wù)器、數(shù)據(jù)庫(kù)、中間件等易受攻擊部分應(yīng)及時(shí)更新系統(tǒng)補(bǔ)丁。④建議及時(shí)更新第三方應(yīng)用如WebLogic、JBoss、Redis、Hadoop和Apache Struts等應(yīng)用程序補(bǔ)丁。⑤開(kāi)啟關(guān)鍵日志收集功能（安全日志、系統(tǒng)日志、錯(cuò)誤日志、訪問(wèn)日志、傳輸日志和Cookie日志等），為安全事件的追蹤溯源提供基礎(chǔ)。⑥對(duì)系統(tǒng)進(jìn)行滲透測(cè)試及安全加固。⑦部署入侵檢測(cè)系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對(duì)惡意代碼的發(fā)現(xiàn)與追蹤溯源。

五、結(jié)束語(yǔ)

惡意挖礦產(chǎn)業(yè)背后的攻擊者一直在積極提高技能水平，不斷更新其攻擊手法，并開(kāi)始針對(duì)各種平臺(tái)的硬件設(shè)備，其功能迭代及漏洞配備速度將更加迅速。隨著數(shù)字化技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)威脅對(duì)于大眾的影響越來(lái)越與現(xiàn)實(shí)緊密相連。雖然惡意挖礦活動(dòng)所造成的破壞性遠(yuǎn)低于勒索軟件等惡意軟件，但其造成的廣泛影響和感染數(shù)量遠(yuǎn)超于其他惡意軟件，是一種不容小覷的網(wǎng)絡(luò)威脅。

作者單位：吳海燕 胡金坤 陳亞亮 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心

參? 考? 文? 獻(xiàn)

[1]CNCERT，2021年惡意挖礦威脅趨勢(shì)分析報(bào)告. https：//www.cert.org.cn/publish/main/upload/File/2021%20Malicious%20Mining%20Report.pdf

[2]辛毅，高澤霖，黃偉強(qiáng).挖礦木馬的檢測(cè)與防護(hù)技術(shù)分析[J].網(wǎng)絡(luò)空間安全，2022，13（01）：41-46.

[3]史博軒，林紳文，毛洪亮.基于網(wǎng)絡(luò)流量的挖礦行為檢測(cè)識(shí)別技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究[J]，2022，39（07）：1956-1960.

[4]安天CERT，2022年典型挖礦木馬盤(pán)點(diǎn). https：//www.antiy.cn/research/notice&report/research_report/20230208.html

[5] CNCERT，關(guān)于“8220”黑客攻擊團(tuán)伙近期活躍情況的挖掘分析報(bào)告. https：//www.cert.org.cn/publish/main/upload/File/8220%20APT.pdf