生存还是毁灭？一文读懂挖矿木马的战略战术

2019年，比特币等虚拟货币大幅上涨，从最低3000美元上涨到7月份的1.4万美元，上涨300%。巨大的金钱诱惑使更多的黑人团伙加入了恶意挖掘的行列。通过对云僵尸网络家族的监控，阿里巴巴云安全团队发现恶意挖掘已成为黑人生产团伙的主要盈利方式。2019年，共监控58个大型挖掘木马团伙（数据截至8月底），定义木马活动的累积感染，下图/表为活动TOP10木马家族及简介。本文试图从宏观角度分析和总结挖掘木马的常用技术和发展趋势，以启发企业的安全保护。

核心观点

这一趋势无疑令人担忧，这意味着采矿木马的沟通能力正在显著提高，并变得无处不在。一旦企业的信息系统存在任何可用的漏洞，企业的内部网络将迅速下降，采矿行为将被抓住CPU资源严重影响企业信息系统的运行。这对企业的漏洞管理和安全防御能力有更高、更快的要求。

挖掘木马入侵成功后，必须希望能够长期稳定地挖掘虚拟货币，其技术应用rootkit、无文件等技术实现长期隐蔽运行。对于一般运维人员来说，一旦系统被招募，顽固的木马就很难清除，这就要求企业具备更专业的安全应急响应能力。

Golang语言自然具有跨平台编译能力，方便黑生产团伙在多平台间移植，使用新的恶意软件GO也成了趋势。TOP102019年爆发的挖矿木马有6匹，其中5匹是GO语言实现，MinerGuard和kworkerds已具备了Linux/Windows传播双平台的能力。

工欲好，利其器-攻击之术

扫描/放置全网漏洞->蠕虫化投放

1、使用单一或多个IP攻击全网漏洞投放

   这种交付方式比较原始，没有横向传播能力，效率比较低，容易被防御拦截。在我们的监控中，使用这种方法的木马通常很小。8220Miner多个国外固定使用IP持续攻击将定期更换IP，但更换频率较低ddsMiner通过sqlserver入侵时，将下载攻击载荷dds.exe的PE文件(如:http://113[.]69[.]206[.]219:4523/dds.exe)，该团伙每天至少使用一个新的IP全网攻击，攻击时间持续数小时IP也是当天的恶意文件托管站。

2、蠕虫化投放

   蠕虫开采botnet具有攻击模块，扫描和感染网络上的其他服务器，这种传播将以指数增长的速度扩展，这将使追溯和防御更加困难。TOP10中国2019年爆发次采矿botnet所有的蠕虫投放都是在短时间内(几天)迅速扩张的TOP10。

利用单个漏洞->组合漏洞横向传播

早期的挖矿木马使用固定漏洞在公网传播，传播速度和规模受限。而使用多种漏洞组合攻击的方式使得挖矿木马具备了内网横向传播的能力，攻击模块会集成通用的WEB服务漏洞、爆破、数据库漏洞等攻击方法。聪明的挖掘木马作者使用不同的内外网络攻击策略来更有效地传播。Windows平台下的Bulehero挖掘木马，在内网优先使用永恒的蓝色漏洞，ipc$爆破、RDP爆破传播，公网优先Web传播服务漏洞。Linux平台下的kerberods挖掘木马，本地优先使用内网ssh key、ssh爆破传播。在这种有效的策略下，企业内网通常在几分钟内全部入侵。

N-day快速利用漏洞

互联网大规模存在且未被修复的通用漏洞往往成为挖矿僵尸网络争夺的'肥肉'，N-day漏洞爆发后，很难在短时间内有效修复，嗅觉敏感的黑生产团伙很快就会被纳入挖掘木马的武器库。据我们观察，N-day运维人员修复漏洞的空窗期越来越短，比如Jboss2017年5月发现反序列化漏洞，年底JbossMiner大规模使用。2018年12月ThinkPhp十多天后，远程代码执行漏洞爆发BuleHero使用团伙。2019年4月8日Confluence RCE 漏洞利用POC4月10日发布kererods蠕虫开始利用这个漏洞大肆传播，只隔了两天。再次对云平台和用户的快速响应能力构成严峻考验。

通往财富之路-牟利之术

矿池配置方式：

采矿木马植入开源采矿程序进行采矿。当采矿机程序启动时，采矿参数通过命令线传输，但该方法相对原始，释放的木马无法修改配置参数。第二种方法是使用配置文件发布，并结合定期任务控制采矿参数，这更为常见。上述两种方法都具有易于检测的特点。一些黑人生产团伙将对开源采矿程序进行二次开发，在恶意程序中编码采矿机配置参数，并进行壳体对抗检测，以达到隐藏采矿的目的。

   MinerGuard矿机配置文件截图！

ddgs矿池和钱包地址的硬编码

采矿方式：公共矿池->矿池代理

1、公共矿池模式

   使用匿名的公共矿池是恶意挖矿最常见的方式，使用方法简单，但是由于需要配置独立的钱包地址，因此易被跟踪溯源，而且对bot采矿没有管理能力。

2、矿池代理

   一些采矿僵尸网络将建立自己的矿池代理。代理可以降低采矿难度，也可以根据收入随时切换高收益矿池和高收益矿币。这样，钱包地址就无法跟踪。

其它实现方式：附带DDos、Socks代理

除了自己的挖矿工作，一些黑产团伙还会通过其他方式实现，比如DDos、代理等。如下图所示sicMiner一个恶意样本会运行python脚本，脚本是github上开源的socks5代理，代理在7081端口运行，该团伙可以通过销售代理实现。

生存或毁灭-持久化之术

挖掘木马入侵成功后，需要长期停留在目标操作系统中，以实现虚拟货币的长期稳定生产。通常使用各种技术来对抗安全检测和操作维护人员的清除。

清除/卸载安全软件

卸载宿主机的安全防护软件是常规操作。由于采矿攻击主要针对服务器，黑色生产团伙也特别针对云环境的安全软件。以下是kworderds蠕虫在windows、Linux卸载不同安全软件的行为。

rootkit技术

1、常驻通过定期任务/计划任务实现

   Linux下的crontab常规任务是许多恶意软件常见的停留方式，它们不仅会将自己写入用户crontab，还可以写软件包的crontab,如/etc/cron.d，这使得自己更难被发现Windows类似的停留方式是通过计划任务和修改登记表来实现的。以下是ddgs通过蠕虫恶意进程crondtab启动。

2、动态链接库预加载型rootkit

   Linux下一个动态链接库的预加载机制将在加载其他传统系统库之前提前加载用户定义的动态链接库。如果自定义库的函数与系统库中发现的函数有相同的名称，则自定义动态链接库将覆盖系统库中的函数。攻击者通过动态连接库预加载libc中诸如readdir常用函数等hook，当ps、top等shell试着读指令/proc/目录获取过程信息时隐藏恶意。

无文件攻击技术

无文件攻击不需要将恶意软件落地到磁盘上，因此很难被杀死，具有更好的隐蔽性。各种工具（例如，通常用于挖掘僵尸网络Windows的WMI命令行工具wmic.exe)或者脚本编程语言(如PowerShell)提供的API接口访问WMI，实现无文件攻击。以下是TheHidden使用wmic、WannaMine使用powershell无文件攻击。

混淆文件名/路径

除了对抗各种安全工具，还要对抗运维人员的手动调查，混淆文件名称和路径也是常用的手段ibus将恶意文件写入多个系统目录，并通过随机更改大小写生成类似于隐藏文件名的混淆文件名。

c&c通信

因为恶意挖矿不需要正确bot强控制，大部分挖矿木马都不完整c&c通常将配置文件与定时任务相结合，对模块进行控制bot配置变更和版本更新TOP10中只有ddgs和ibus有完备的c&c控制功能ddgs，它的c&c通信使用uMsg在今年1月的更新中，序列化可以实现攻击指令发布、版本配置更新等功能P2P进行c&c控制IP的下发。

暗网

从2018年底开始，挖掘木马开始频繁使用暗网托管恶意文件，由于其匿名通信的特点，在恶意软件中逐渐流行起来。以下是watchbog蠕虫使用暗网地址下载恶意文件

黑客喜欢在公共免费网站上托管恶意文件，以防止被追踪追溯，他们需要恶意shell、二进制文件伪装成图片，防止检测。

后门账号

除了常规的停留操作外，我们还监控多个采矿木马将在宿主机上留下后门账户。即使木马被移除，黑客也可以通过后门账户再次入侵。

挖掘僵尸网络除了对抗安全软件外，还要面对同行的竞争CPU资源有限，一机不能二‘马’！

杀死竞争过程

这几乎是挖掘木马的常规操作，通过指纹库判断其他挖掘过程或直接杀死CPU占用率高的过程。

修改防火墙

修改防火墙iptables，关闭有漏洞的服务端口，防止其他挖掘木马入侵。或关闭常见的矿池端口，阻止竞争对手的挖掘行为。

修改hosts

通过修改/etc/hosts将竞争对手的域名，常见的矿池域名sinkhole，也是一种资源竞争手段。我们也看到了相应的对策:判断/etc/hosts是否修改并重写/etc/hosts进行覆盖。

借助其他botnet

除上述常规竞争手段外，借助其其他僵尸网络传播也是一种聪明的手段。systemdMiner今年4月，曾‘借鸡下蛋’，通过入侵ddgs的c&c快速扩张中控主机。

防护建议

1.企业需要及时管理和修复漏洞，否则很容易成为挖掘木马的受害者。

2.建议使用阿里云安全的下一代云防火墙产品，其阻断恶意外联、能够配置智能策略的功能，能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明，下载、挖矿、反弹shell这些操作需要恶意外联；拦截云防火墙将完全阻断攻击链。此外，用户还可以通过定制策略直接屏蔽恶意网站，以阻止入侵。此外，云防火墙独特的虚拟补丁功能可以帮助客户更灵活、更无意识地阻断攻击。

3.对于有更高定制要求的用户，可以考虑使用阿里巴巴云安全管家服务。购买服务后，经验丰富的安全专家将提供咨询服务，定制适合您的解决方案，帮助加强系统，防止入侵。入侵事件发生后，也可以直接干预入侵后的清理和事件可追溯性，适合安全需求较高的用户，或不雇佣安全工程师但希望确保系统安全的企业。

本文