CNCERT与安恒信息联合发布《2021恶意挖矿威胁趋势分析报告》

随着加密货币的快速发展和货币价值的提升，收益透明、见效快的恶意挖矿服务成为网络犯罪分子的首选，导致恶意挖矿活动在全球范围内持续活跃很久了。

恶意挖掘是网络中常见的威胁类别。这种威胁具有良好的隐蔽性和非破坏性的特点。目的是感染并长期驻留在用户设备上。计算资源用于挖掘加密货币。攻击者占用的设备越多，他们获得的利润就越多。因此，很多黑客组织通过非法入侵来谋取利益。

根据CNCERT和安恒威胁情报中心的监测数据，将联合发布《2021恶意挖矿威胁趋势分析报告》。对我国大型机挖矿情况进行简要分析，然后从流行的恶意挖矿威胁、挖矿木马传播方式、恶意挖矿趋势等方面向社会公布2021年恶意挖矿威胁趋势分析。

CNCERT对热门挖矿木马和挖矿行为进行抽样监测，形成2021年第四季度我国大型机挖矿情况分析。数据显示，在监测发现的1072万活跃挖矿主机IP中，7个8.26%是国内IP。

属于广东、江苏、浙江等省份的挖矿主机IP较多，占比12.57%、11.72%、7.6%。

在矿池方面，2021年第四季度，CNCERT检测到约585万个矿池服务IP。其中，26.10%为国内IP，71%为海外IP。

该报告还分析了流行的采矿威胁。通常，攻击者出于经济动机进行挖矿恶意活动，因为挖矿是一项非常有利可图的业务，恶意挖矿操作比勒索软件网络犯罪操作攻击成本更低，攻击更容易实施，好处是直接可见的，整个攻击过程可以由个人单独完成，这也是恶意挖矿业务受到广大攻击者青睐的原因之一。在具体的黑矿组织和团伙方面，主要集中在TeamTNT、H2Miner、8220（国内疑似）、暗影。目前流行的挖矿木马家族主要集中在Crackonosh、Lemon Duck、Sysrv-hello、GuardMiner。

报告还总结了挖矿木马常见的感染传播方式，主要有以下几类：

1.钓鱼邮件传输

攻击者伪造电子邮件，通过电子邮件附件传播恶意软件，或通过电子邮件中的恶意链接诱使用户点击和下载恶意软件。当用户打开恶意软件时，系统会植入病毒，并执行脚本自动横向渗透网络，部署挖矿程序执行操作并获利。

2.通过非法网页传播

攻击者通常会在色情网站和在线赌博等非法网站上嵌入网络挖掘脚本。往往需要一段时间才会出现界面，不容易引起用户的怀疑。这也是黑客选择这些非法网站部署网页挖掘的原因之一。一旦用户进入此类网站，JS脚本会被自动执行，占用大量CPU资源来挖门罗币，导致电脑死机。

3.软件捆绑下载与传播

激活工具、破解软件、游戏外挂、盗版游戏等未知下载站点通常会感染挖矿木马。温床。攻击者通过捆绑下载植入恶意挖矿程序。当用户下载并执行激活工具、破解软件、游戏外挂、盗版游戏时，会执行恶意程序在后台进行恶意挖矿活动。这些网站通常下载量大，大量用户通过搜索引擎进入这些毒网站，并可能在各大技术论坛分享，造成二次传播，影响广泛。

4.通过僵尸网络分发

攻击者会选择组建大型挖矿僵尸网络进行恶意活动，通过各种方式入侵目标设备。例如，僵尸程序通过网页挂起、MySQL数据库弱密码爆破等方式传播，这些僵尸程序通常内置蠕虫模块，使受害机器成为新的攻击源，从而迅速传播爆发，并形成通过多个主机的僵尸网络。攻击者可以通过控制终端中的僵尸网络向受害主机发送指令，进行分发挖矿木马等恶意操作。目前，这种构建僵尸网络分发挖矿木马的方式已成为黑帮挖矿的主要手段。

5. 通过漏洞传播

通常企业可能对外提供网站服务，但其服务器操作系统存在未打补丁的漏洞，给了攻击者可乘之机。漏洞利用一直是挖矿木马传播感染的重要手段。它通过配备各种可利用的一般漏洞来扫描目标网络资产。如果漏洞没有及时修复，很可能导致入侵事件。

6.利用软件供应链感染进行传播

供应链感染可以在短时间内获取大量计算机资源，受到黑客的青睐，比如最近的事件。 “Malicious NPM Package Carrying Mining Malware”安全事件通过开源包存储库证明了软件供应链攻击的有效性，实际上之前已经发生过很多类似的安全事件，比如2021年6月。在 PyPI 包存储库中发现恶意矿工。

7.通过浏览器插件传播

攻击者将恶意插件伪装成普通的Chrome浏览器插件，上传到插件商店供用户使用。事实上，恶意代码是内置的，当用户下载安装后，就会进行挖矿等恶意操作。例如，一个超过 10 万人下载的浏览器插件之前被发现存在恶意代码。该插件称为存档海报。最初的功能是协助用户在社交平台 Tumblr 上进行多账户协作。该插件劫持计算机资源挖矿虚拟货币门罗币，却在未经用户同意的情况下，偷偷使用Coinhive软件开始挖矿操作。

谷歌浏览器拥有丰富的插件功能，并且有来自世界各地的开发者提供的丰富的扩展或应用，极大的方便了用户的使用。但是，由于浏览器插件的安全问题，目前还没有发生导致滥用浏览器插件进行恶意活动的安全事件。

8.容器镜像污染

随着云原生容器的应用越来越火爆，行业黑帮也将目光投向了这一领域。在云容器中，最著名的就是 Docker Hub 公共容器镜像仓库。歹徒没有放过这个机会。他们使用 Docker Hub 上传恶意挖矿镜像来污染容器镜像。当用户下载并执行镜像时，会导致 docker 主机被感染，攻击者还会通过容器服务器的漏洞传播蠕虫病毒以感染尽可能多的 docker 主机，并执行挖矿程序以获取利润。

由于攻击者可以创建多个恶意图像来扩大污染源，实际感染和影响范围比预期的要广。方法作为其感染手段。这种容器镜像污染攻击方式造成的下载和传播通常可以达到几十万甚至上百万，对云原生环境造成严重污染。

9.使用可移动存储媒体传播

2015 年，出现了针对 USB 设备和其他可移动媒体的攻击以传播挖矿程序，例如著名的 Lemon The Duck 挖矿团伙利用 CVE-2017-8464 快捷方式漏洞作为传播感染的一种方式。通过在文件夹中植入恶意Windows*.lnk快捷方式文件和恶意DLL文件，当使用解析的.lnk快捷方式文件打开驱动器时，快捷方式将执行恶意DLL组件，触发CVE-2017-8464LNK远程代码感染可移动 USB 驱动器和网络驱动器的执行漏洞。

在用户不知道移动媒体被感染的情况下，很可能将被感染的设备携带到其他非联网环境，导致原本安全的环境被病毒渗透，从而扩大内部感染范围并影响工作环境的正常运作。

针对恶意挖矿的未来趋势，报告还总结了以下几点：

1. 虚拟货币价格暴涨，通过各种手段改善挖矿。效率。

攻击者会尝试使用各种技术来提高挖矿效率。例如，研究人员发现的 Golang 蠕虫挖矿木马使用了一种新的策略来提高挖矿效率。

此挖矿木马通过特定型号的寄存器 (MSR) 驱动程序禁用硬件预取器。硬件预取器是一项新技术。处理器会根据内核过去的访问行为预取数据。处理器 (CPU) 使用硬件预取器将指令从主存储器存储到二级缓存。但是，在多核处理器上，使用硬件预取可能会导致功能丧失和系统性能整体下降。 XMRig需要依靠机器的处理能力来挖门罗币，关闭MSR可以有效防止系统性能下降，从而提高挖矿效率。

虽然本文所述的这种挖矿方式不会对设备造成损害，但不排除攻击者未来可能会为了提高挖矿效率而进行一些加速设备损失的操作CPU挖矿软件CPU挖矿软件，例如解除硬件性能限制，超频使用等。

2.黑吃黑，黑生产组织争夺矿产资源

在恶意挖矿活动中，两个挖矿家族可能会相互竞争受害计算机资源。这种竞争通常在Linux和云环境中进行。挖矿木马会通过多种方式对受害主机上其他家族的挖矿行为进行清理、屏蔽、干扰，并将竞争对手从系统中删除，从而享受专属资源。

常用方法有以下几种：

1）配置IP过滤器，防止竞争对手向指定矿池IP地址发起TCP连接；

2）删除竞争对手的挖矿进程，将其使用的进程及其IP加入黑名单，禁止其进程运行或发起网络连接；

3）修复访问权限漏洞，防止系统感染其他恶意软件；

4）移除竞争对手添加的常驻方式，如注册中心、启动服务、定时任务等

其中最为人所知的就是Pacha和Rocke组织之间的云资源竞争。这两个组织使用的技术、策略和方法非常相似。现象有助于提高操作者的技能水平。 Pacha 小组还特别关注识别和移除 Rocke 的采矿业务，以试图淘汰其他业务，通过进行大规模扫描以寻找开放或未打补丁的 Linux 服务器和云服务，然后使用多用途恶意软件感染目标设备。帕查

还有一份来自 Rocke 集团过去用于挖掘的域的 IP 的黑名单。当 Pacha 感染受害系统时，Rocke 矿工被自动移除，受感染系统无法再连接到黑名单域。虽然 Rocke 组也使用策略从受感染的服务器中清除竞争对手，但与 Pacha 组相比，它的规模相对较小。

这种黑黑争夺设备资源的情况在物联网中也经常出现，因为设备资源的数量是有限的，而且经常会发生多个矿族感染同一个设备的情况。这个时候，只有熟练的一方才能生存，因为不消灭对方，就会被对方消灭。这种同侪竞争的局面逐渐成为一种趋势。

3.使用工控系统进行挖矿

随着时间的推移，挖矿活动产生的虚拟货币越来越少，对计算能力的需求越来越大。随着时间的推移，一些攻击者不再满足于选择 PC 或移动设备作为他们的挖掘工具，而是瞄准具有高性能和高处理能力的基础设施。工业控制系统的内部网络也可能包含过时或未打补丁的软件，系统可能仍停留在旧版本上，因为部署新操作系统和更新可能会无意中破坏关键的旧平台。

自 2017 年以来，研究人员发现针对工业控制系统的挖矿攻击有所增加，这给工业公司的计算机带来了沉重的负担，从而影响了企业 ICS 组件的运行。负面影响和威胁其稳定，从而构成更大的威胁。在 2018 年的另一起工业系统恶意挖矿事件中，犯罪分子还在欧洲水务公司控制系统中进行了加密劫持挖矿，这一活动降低了水务公司管理公用事业的能力。攻击者还使用安全防御工具来检测和禁用自己的标记，这相当于为其他类型的网络威胁打开了大门，使已经感染矿工的系统更容易受到攻击。

工厂是恶意挖矿操作的一个有吸引力的目标，因为许多基线操作并不使用大量的处理能力，而是消耗大量的电力，这使得挖矿恶意软件能够相对容易地掩盖其 CPU 和功耗，即使检测到系统异常，对控制系统上的网络威胁进行故障排除也需要相当长的时间。此外，采矿活动还增加了系统处理器和网络带宽的使用，这可能导致工业控制应用程序由于系统过载而无响应、停止甚至崩溃，从而导致工厂操作员降级或失去管理工厂的能力，或即使在严重的情况下。对业务和基础设施的关键流程的中断和影响。

报告最后还给出了一些针对挖矿病毒的预防建议。

报告指出，无论是在本地系统恶意挖矿还是通过浏览器进行恶意挖矿，事后通过人工检测一般都很难找到入侵路径，也很难快速找出CPU高的原因用法。因为恶意挖矿软件可能会隐藏自己或伪装成合法进程，以避免被用户删除。当电脑在最高性能模式下运行时，系统会很慢，更难排查问题，所以防止恶意挖矿软件的最佳方法是在成为受害者之前采取安全措施。

最常用的方法是阻止 JavaScript 脚本在流行的浏览器中运行。该功能虽然可以有效防止偷渡式网络挖掘攻击，但也可以防止用户使用浏览器插件功能。另一种方法是安装专门用于防止浏览器挖掘的扩展程序，例如“No Coin”和“No Coin”。 MinerBlock”，两者都有 Chrome、Firefox 和 Opera 的扩展。

另一种防止本地系统感染恶意挖矿的方法与普通恶意软件基本相同：

1.提高个人安全意识，从正常的应用市场和渠道下载安装应用，不要轻易安装来历不明的第三方软件，或随意点击访问一些感应不良网页；

2.安装终端安全防护，定期进行全面检查；

3.及时修复系统漏洞，更新系统版本、软件版本和应用版本。

更多详细信息，您可以点击链接下载原始报告。 （本文图片均来自CECERT与安恒信息联合发布的报告）