“新基建”推動數字化進程，隨著云計算、物聯網、大數據的不斷發展，越來越多的政企機構將業務上云，公共服務、生產、生活各方面的便捷性提高，隨之而來，網絡安全隱患也在不斷增多，對生產業務和生活的危害性也逐漸增大。今天我們就來看看常見的一種網絡安全隱患：“挖礦木馬”。

一、什么是”挖礦木馬“

當前熱度高且常見的網絡攻擊就是被我們熟知的“挖礦木馬”，是一種重要的網絡安全隱患。區塊鏈技術以及數字貨幣隨著信息化的發展被各種熱炒，如：比特幣、門羅幣、以太幣等層出不窮。以熱度高的比特幣為例，具有難以追蹤、匿名等特點，經過十余年的發展，已成為網絡黑客喜愛使用的交易方式。比特幣的獲得需要高性能計算機按特定算法計算，計算過程被稱為“挖礦”。挖礦需要投入大量計算能力，也就是需要大量計算機的計算力，而支撐這種計算力就需要大量的財力。因此，就有人就想到利用“木馬”控制別人的計算機，建立僵尸網絡，來幫自己挖礦的辦法，這就是 “挖礦木馬”。

“挖礦木馬”這種網絡安全隱患的傳播是黑客通過利用各種手段將挖礦程序傳播擴散到用戶的計算機中，在用戶不知情的情況下偷偷利用用戶的計算機進行執行挖礦從而獲取收益，木馬控制的計算機越多，獲得的挖礦收益也就越多。

二、“挖礦木馬“的工作原理：

• 可執行文件：存儲在機器上的典型惡意程序，通常通過設置計劃任務或修改注冊表項實現持久化，長期進行加密貨幣的挖礦作業。 
• 基于瀏覽器的“挖礦木馬“：使用 JavaScript（或類似技術）的挖礦木馬是在瀏覽器中執行。 只要瀏覽器打開被植入挖礦木馬的網站，就會執行挖礦執行，持續消耗資源。 
• 無文件“挖礦木馬“：利用如 PowerShell 等合法工具在機器的內存中執行挖礦作業，具有不落地、難檢測等特點

三、“挖礦木馬“的傳播方式：

攻擊者主動發起

• 漏洞利用：利用系統漏洞快速獲取相關服務器權限，植入“挖礦木馬“是目前普遍的傳播方式之一。常見的漏洞包括 Windows 系統漏洞、服務器組件插件漏洞、中間件漏洞、web 漏洞等；部分攻擊者選擇直接利用永恒之藍漏洞，降低了利用漏洞攻擊的難度，提高了”挖礦木馬“的傳播能力。例如傳播較廣的WannaMine 挖礦家族，利用了永恒之藍漏洞在內網蠕蟲式傳播，給不少公司和機構帶來巨大損失；
• 弱口令：攻擊者通常會針對 redis、ssh、3389、mssql等服務進行爆破弱口令攻擊。爆破成功后，嘗試獲取系統權限，植入“挖礦木馬“并設置持久化。

攻擊者欺騙用戶

• 偽裝正常軟件：攻擊者將“挖礦木馬“偽裝為游戲軟件、娛樂社交軟件、安全軟件、游戲外掛等進行傳播，欺騙用戶下載并執行。由于多數游戲對顯卡、CPU 等硬件性能要求較高，因此”挖礦木馬“通常偽裝成游戲輔助外掛，通過社交群、網盤等渠道傳播，感染大量機器。

四、”挖礦木馬“的危害

“挖礦木馬“是重要的網絡安全隱患，它帶來的危害有：

• 占用計算機資源，導致計算機無法正常工作，不能及時處理用戶的正常任務；
• 增加電力消耗，加快電腦CPU、內存等硬件老化速度。
• 黑客利用被感染機器在內網橫向攻擊服務器、數據庫等高價值資產，造成更嚴重的網絡安全事件；
• 企業敏感信息泄露、機密文件丟失；
• 感染破壞性更強的病毒，如：勒索病毒；
• 黑客利用被感染機器攻擊其它目標，造成聲譽受損的同時違反網絡安全法。

五、“挖礦木馬“的治理思路：

事前治理：

• 通過漏洞掃描產品或滲透測試發現并修復網絡及資產的安全漏洞，減少被黑客攻擊的途徑；
• 部署防火墻、入侵檢測防御等安全解決方案，防患于未然；
• 制定安全事件應急方案，定期進行攻防演練及安全培訓活動。

事中治理：

• 挖礦木馬感染主機和礦池的通信過程使用的通信協議是常用的 stratum 協議，該協議內容 為 JSON 數據格式。stratum 協議的 JSON 數據格式存在多個固定的特征字段，在檢測通信內容時， 可根據這些特征設置告警規則，并應用與 suricata、snort 和其他通信檢測軟件或設備，如IPS產品；
• 檢查計算機對外的通信行為，及時攔截對礦池地址或域名的通信連接；使用威脅情報進行關聯查詢，綜合域名、對應 IP、關聯樣本進行判 定礦池地址威脅性；礦池地址一般有域名+端口或 IP 地址+端口的形式，域名可能也和公有的礦池地址一樣存在一些特殊字符串，如：pool、xmr、mine 等。在檢測過程中都可結合威脅情報和對應通信內容進行綜合判定。
• 監測內網計算機之間東西向流量，及時阻斷病毒傳播行為。
• 事后治理：
• 針對被感染主機，確定病毒感染途徑，通過優化安全策略等方式加強防護等級；
• 使用殺毒軟件、重裝系統等方式清理挖礦木馬。

六、銳捷“挖礦木馬”防治解決方案

銳捷網絡適時推出銳捷“挖礦木馬”防治解決方案，方案通過聯動不同的安全產品形成不同的方案套餐，用以解決這種網絡安全隱患。具體實現如下效果：

• 防得住、少通報：通過大數據威脅情報、NGFW（防火墻）挖礦特征和行為識別，攔截絕大部分挖礦主機外聯行為，對南北向非法外聯請求攔截阻斷；通過流量行為模型和挖礦行為特征精準主動發現內部挖礦主機；
• 找得快、查到人：態勢感知聯動認證平臺，實名關聯反查溯源，可以準確定位到真實用戶身份；保存出口安全日志，一旦遇到上級通報，可以及時追查，妥善處理
• 智下線、防擴散：聯動sflow交換機精準定位病毒擴散行為，留存全網安全日志，實現挖礦和各種安全風險的專業安全關聯分析，并可以聯動SAM、交換機實現失陷感染主機的自動下線隔離。

方案套餐如下：

• 剛需型：A套餐，阻斷 95%以上挖礦外聯，很大程度避免被監管部門通報
• 強化型：B套餐，在剛需型基礎上，主動發現內部挖礦行為，精準溯源到實名身份和主機
• 專業型：C套餐，在強化型基礎上，進一步實現挖礦主機自動下線隔離，達到“精準防控”效果，避免內部威脅擴散

銳捷網絡的”挖礦木馬“解決方案，可以幫助客戶有效地去除這類網絡安全隱患。

相關推薦：

銳捷挖礦木馬防治解決方案

銳捷高校挖礦木馬防治解決方案報告