一、背景

“區塊鏈、比特幣”，持續火了大半年的話題。甚至有人將2017年定義為“數字貨幣的元年”, 炒幣一日勝過炒股一年，當然也反之成立……

朋友圈鋪天蓋地的科普宣傳文章，隨處可見的培訓教學沙龍，連投資圈大佬都要出來隔空喊話，區塊鏈不止“表演”在創業公司的PPT上，甚至還“誕生”出了區塊鏈養雞這樣的融資項目。

2009年，以區塊鏈技術為基礎的比特幣的誕生為這平淡的一年增添了許多色彩，直到2017年，無論是以比特幣為首的數字貨幣，還是各類山寨幣身價飆升幅度超出了每一個人的想象。

“炒幣”，這一現象已經超出了一般性投資理財的范疇，而面對“數字貨幣”如此巨大的利益誘惑，沒有人不會心動。當WannaCry勒索病毒爆發時，黑客要求受害者以比特幣方式支付贖金，真正讓比特幣得以被廣大消費者認知。如今，他們離我們更近了，并以更常見的模樣走進我們身邊，那就是“挖礦木馬”。

二、什么是挖礦、挖礦木馬

在開始之前我們先來簡單的說一下什么是“挖礦”，虛擬數字貨幣，如比特幣、門羅幣等，并非由特定的貨幣發行機構發行，而是依據特定算法通過大量運算所得。挖礦程序運用計算機強大的運算力進行大量運算，從而獲取虛擬數字貨幣，這個過程就是人們常說的“挖礦”。但是，由于硬件性能的限制，虛擬數字貨幣玩家需要大量計算機進行運算以獲得一定數量的數字貨幣。

簡而言之挖礦就是獲取虛擬數字貨幣的過程，普通玩家肯定是通過布置大量“礦機”來加速數字貨幣的獲取，由于“虛擬數字貨幣”擁有誘人的巨大利益，這一看似合理的設置在不法分子眼里卻變了個樣，他們開始嘗試“不同尋常”的挖礦之路，更別說通過木馬控制他人電腦在他們看來只是基礎技能。

和普通木馬一樣，“挖礦木馬”也是通過特定程序非法控制他人計算機，但不同之處在于，挖礦木馬的作用是通過消耗被害主機的資源來獲得虛擬數字貨幣，相比其他木馬更具隱蔽性。

但是“挖礦木馬”的危害性一點也不小，通過木馬傳播而淪為“礦工”的受害者電腦，會出現大量耗電，顯卡、ＣＰＵ等硬件急劇損耗等情況。受害者電腦出現CPU資源占用飆升（通常達到75%以上），電腦性能變差，發熱量上升等問題，都是“挖礦木馬”的功勞。針對近期挖礦病毒肆虐，亞信安全高級威脅應急響應團隊將帶您深入了解挖礦木馬的“秘密”。

　　挖礦木馬比我們想象中“熱”

三、挖礦木馬的分類

接下來我們詳細講講挖礦木馬的情況，常見的“挖礦木馬”形式大致可分為兩類：本地挖礦和云端挖礦。本地挖礦木馬的代表當屬KMSpico Windows“激活”工具，由于盜版Windows系統和office辦公軟件在國內屢禁不止，因此網絡上流傳著各種激活工具，比較知名就是KMSpico，黑客經常通過該激活工具傳播挖礦病毒“Trojan/Miner”。當Trojan/Miner“遇上”KMSpico后，可造成的影響已不言而喻，尤其是國內剛剛引來一次更換Win10系統的熱潮。

從百度指數上我們可以看到，從2013年開始到現在，搜索KMSpico工具的頻次，平均每天都有1000+，這還不包括通過搜索KMS、spico、kmco等相關關鍵詞，搜索的相關結果更是接近百萬個，由于激活對于國內電腦用戶來說是個高頻動作，我們離“挖礦木馬”多近可想而知。

比本地挖礦木馬植入技術更高明的另一種木馬植入形式正在悄然崛起，那就是：云端挖礦。云端挖礦是指黑客通過植入帶有挖礦木馬的JS腳本來竊取用戶資源，進行在線挖礦。從行業內部講，大多數情況下挖礦軟件本身是存在后門的，黑客可利用此后門竊取用戶的機器資源甚至用戶的虛擬貨幣。

根據亞信安全高級威脅應急響應團隊初步調查，確定Coinhive是一個提供惡意JS腳本的網站平臺，允許攻擊者將腳本掛到自己或被入侵的網站上，所有訪問這些網站的用戶都可能成為虛擬貨幣的挖掘礦工。

通俗來講，Coinhive采礦平臺專門為網站開拓“另一種”收入來源：不必在網頁上夾帶大量廣告，只要在網頁內嵌入開采Monero（門羅幣）的代碼即可，這些代碼會使用訪客電腦的運算資源來開采門羅幣。Coinhive會從開采出來的門羅幣中收取一定比例的傭金，其余則歸網站所有。目前，越來越多的惡意軟件開發者偏愛嵌入此類代碼。

下圖為嵌入網頁中挖礦JS代碼：

　　目前，我們檢測到植入挖礦腳本的站點類型分布如下：

占比最多的是企業網站，比例高達62%，排在后面的依次是色情、博彩、游戲、小說以及視頻等類型的網站。

　　企業網站存在大量風險

與此同時，許多挖礦平臺還存在著詐騙與盜用盜刷信用卡的情況，用戶的財產安全在不經意間受到了極大威脅。

四、黑產的影響

那么“挖礦木馬”對我們有什么實際的影響呢？據統計，自2017年10月以來，挖礦站點數量呈現上漲趨勢，越來越多的網站被發現被植入了挖礦木馬，因網站被入侵而被動參與挖礦的網站也在增多。

亞信安全高級威脅應急響應團隊的研究人員在發現了一些高流量的挖礦網站的同時，也監測到受影響的用戶流量有明顯增加。

在“挖礦”這條道路上，黑客為了使自己的利益最大化，可謂無所不用其極。常言道，魔高一尺，道高一丈，邪終不勝正。為了進行全方位的安全防護，亞信安全高級威脅應急響應團隊的研究人員對收集到的以下病毒進行全面分析，并還原出病毒進入計算機后的各種行為，力求保障企業與用戶安全，讓大家對“挖礦木馬”有更清晰的了解。

五、“挖礦木馬”案例

案例1：進入Windows主機后的“寄生蟲” ——Conhosts.exe

我們通過對內存鏡像的分析發現，在某臺可疑計算機中，conhosts.exe進程占用的CPU空間高達75%，因此我們有理由懷疑該程序是木馬程序。通過對進程conhosts.exe進一步分析，我們發現該程序的PID為856，存放路徑是c:windows onts，由csrss.exe創建并啟動。同時csrss.exe存放路徑也是c:windows onts，而正常的csrss.exe存放路徑應該存放在c:windowssystem32下，因此可以進一步判斷該進程是一個木馬程序。

通過分析，我們可以看到程序csrss.exe的所有文件操作、進程操作以及注冊表操作，csrss.exe創建了6項注冊表，從下圖中可以看到，csrss.exe寫入了自啟動的注冊表項等信息，同時創建了conhosts.exe木馬程序。

通過對出conhosts.exe的進一步分析，可以明顯看出conhosts.exe向礦池建立了鏈接，如下圖所示：

通過礦池這個線索，繼續追蹤，可以看到c:windowsFontsexplorer.exe也是一個偽裝的木馬進程，通信的端口號為3333，5555和7777，如下圖所示：

　　通過分析，explorer.exe木馬進程有如下操作：

1. explorer.exe在c:windowsFonts目錄下創建病毒所需的.bat，.reg，.exe等文件和2個注冊表，如下圖所示：

　　2. explorer.exe與多個IP建立的一系列鏈接。

3. explorer.exe創建了兩個進程。其中一個進程是cmd.exe，另一個進程是attrib.exe。進程cmd.exe執行了cmd /c cd c:wundows onts&& 1.bat命令。

進程attrib.exe執行命令并隱藏病毒程序，因此，在c:windowsFonts目錄下看不到.exe，.bat等文件，只能通過命令dir *.exe /a /s查看。

4. explorer.exe與外網通信。

由于木馬的傳播范圍不能確定，因此可以通過檢索內網所有機器是否有跟挖礦木馬指定的IP有建立鏈接。如下圖所示，我們發現另一臺機器也向木馬指定的外網IP通信，這就說明這臺機器也中了挖礦木馬。木馬名稱：winRARI.exe，進程路徑：c:windowsFonts。

根據winRARI.exe這個線索繼續調查發現winRARI.exe正在操作c:windowsFonts下的日志文件，可以猜測，這些日志文件應該是木馬產生的日志文件。

另外發現winRARI.exe做了大量的文件操作，并且建立了大量的TCP鏈接。

根據獲取到的外網IP地址和搜索網絡協議DNS的查詢記錄,可以找到礦池地址。

以上為整個分析過程。目前，大部分已經被植入木馬的windows計算機中，木馬常以exe的方式來創建進程并在內網進行傳播，如同案例一中所講的例子。

但這還不算完，目前互聯網中出現了新型的通過SSH協議進行傳播的Linux挖礦木馬，隱蔽性更強，更易于傳播。接下來的案例二就是深入研究這一種挖礦木馬的植入過程。

案例2：新型的Linux加密貨幣挖礦機僵尸網絡——PyCryptoMiner

隨著IoT設備接受度越來越高，亞信安全高級威脅應急響應團隊發現一種新型的Linux加密貨幣挖礦機僵尸網絡——PyCryptoMiner，這種僵尸網絡通過SSH協議進行傳播。基于Linux系統構建僵尸網絡是當今互聯網中一種新興的攻擊方式，大量僵尸木馬（病毒）都是由PERL/Python/Bash/Go/Ruby等腳本編寫。利用腳本語言編寫的木馬幾乎都可以達到靜默傳播的目的，而且很難被檢測到，因此用腳本語言編寫的惡意軟件可以很容易被混淆。

主流僵尸網絡的應用過程都是分為多個階段執行的，一般在腳本執行后，會從C&C服務器取回一個進行編碼后的腳本，而這就是被感染機器的主控制器（木馬）。

控制器腳本會在受感染的機器上注冊一個定時任務，這樣可以長期駐留在感染設備中。腳本含有一個編碼后的腳本，每隔6小時執行一次，從受感染的設備上收集敏感信息，同時會檢查設備有沒有被惡意軟件感染，如果被感染，則檢查受感染計算機的當前狀態（目的、意圖），檢查是通過搜索預先定義的惡意軟件名稱來完成的。同時，僵尸主機可以以挖礦節點或者掃描節點的形式出現。

收集的信息會發送給C&C服務器，C&C服務器會以詞典的形式將任務詳情發回給僵尸主機，進而執行挖礦任務。

由于這兩個惡意病毒占用大量的系統資源進行挖礦，對系統性能造成了比較大的影響，但是在調查過程中并沒有發現這個病毒對文件進行加密或者有勒索行為，也沒有盜取用戶的敏感信息，也沒有對系統造成破壞，所以，這類病毒隱蔽性極強。但大多數的病毒（木馬）在對待我們的主機的時候并沒有那么“友好”，所以對于用戶來說，最好的方法還是做好防護策略、嚴密監控服務器資源消耗（CPU／load）。

我們都知道木馬很容易變種，很多情況下殺毒軟件未必能夠識別。隨著黑色產業趨于成熟，再加上近期受多個CVE漏洞影響，黑客利用漏洞可以遠程在未經任何身份驗證的服務器主機上執行任意代碼。由于部分漏洞的細節和驗證代碼已公開，所以出現了大規模利用遠程漏洞嘗試的攻擊。

六、小結

“木馬”、”黑色產業”其實對于我們來說已經不是新鮮事物了，據估算，中國的黑產鏈有上百億的規模。然而黑產對于利益的追逐越發現代化，它們會”充分”利用所能得到的一切有價值的資源，做到”物盡其用”，就像這次“挖礦木馬”的肆虐一樣。我們不能坐以待斃，在充分了解以后，采取一切必要的措施來保護自己，絕不能僥幸于對手的懶惰，希望本次分析能夠對您有所幫助和啟發。

七、附錄：IOCs

文件名

酷藝影視vclient.exe 23679283a33d67239544ccd98f7f1580

VIP特權客戶端.exe f1573da774f6f38b102d9978f01fafe

VIP客戶端.exe 6793fa4cdbb9362b70e236200638ddfc

Xxmr.exe 15560eafda92ce0d1681b7926403d08e

Xt.exe a57e244c9c17edcfcbaaf6d28cb4b62b

Sc2.exe 5de6e84377a665d14ec2a5aa6872ae0b

礦池地址

門羅幣礦池地址：

mine.ppxxmr.com:3333

Pool.xinemer.com:5555

Get.bi-chi.com:3333

比特幣鉆石礦池：

bcd.uupool.cn:6001

云儲幣礦池地址：

siamining.com:3333

Us-west.siamining.com:3333

Suamining.com:3333

超級現金礦池：

hcash-shanghai.globalpool.cc:3008

hcash-shanghai.globalpool.cc:3032

111.232.38.60:3008

比特幣礦池 ：

http://wakuang.aimczi.com:3333

http://wakuang.aimczi.com:5555

http://wakuang.aimczi.com:7777

外鏈C&C：

http://txrdr.com/sitecontent/

https://ooo.0o0.ooo/2017/01/22/

http://pastebin.com/raw/yDnzKz72

http://pastebin.com/raw/rWjyEGDq

http://k.zsw8.cc:8080 (104.223.37.150)

http://i.zsw8.cc:8080 (103.96.75.115)

http://208.92.90.51

http://208.92.90.51:443

http://104.223.37.150:8090

http://37.59.56.102:3333

http://37.59.56.102:5555

http://37.59.56.102:7777

http://37.59.44.193:3333

http://37.59.44.193:5555

http://37.59.44.193:7777

作者：亞信安全攻防實驗室 梁浥佺