不剁手也吃土？可能是挖礦木馬掏空你的錢包

「剁手黨」們終於度過了「雙十一」這個令錢包變癟的購物節，不過也有許多「佛系買家」並沒有參與到這場狂歡中。但是，有幾位「佛系」網友反映，自己雖然沒有剁手買買買，卻因為巨額電費而面臨吃土的困境。

原來，這幾位網友是由於電腦中不幸被植入了挖礦木馬，不僅電費比以前多了不少，連電腦都變的卡慢無比，瀕臨退休。

「挖礦木馬」興起於2012年，自2017年下半年開始進入普通網民視野，在2018年上半年依舊保持迅猛的發展速度。那麼最近挖礦木馬又有什麼新趨勢呢？宅客頻道就在360最近發布的《2018年下半年挖礦木馬攻擊趨勢報告》中扒了扒。（本次提到的挖礦木馬攻擊，不包括網頁挖礦攻擊）

2018年上半年每月遭到挖礦木馬攻擊的計算機數量變化趨勢

Windows平台挖礦木馬呈緩慢下降趨勢

下圖展示了2018年下半年以來每日遭到挖礦木馬攻擊的計算機數量。可以看出，到8月中旬達到最高峰之後，攻擊開始呈現緩慢下降趨勢，10月後數據基本穩定。

2018年下半年每日遭到挖礦木馬攻擊的計算機數量

造成挖礦木馬攻擊數量下降的直接原因是多個大型挖礦殭屍網路在8月至10月之間更新緩慢甚至停止更新。以Mykings挖礦殭屍網路為例，Mykings入侵時所使用的Download URL在8月、9月兩個月未進行更新，這也導致在這兩個月中Mykings的網路擴建基本停滯。

Mykings殭屍網路2018年下半年所使用的Download URL列表

而造成挖礦木馬攻擊數量下降另一個原因可能是2018年下半年公開的影響Web應用的漏洞POC相比較上半年和去年要少得多。

下表展示了2018年以來較常被挖礦木馬家族利用的Web應用漏洞，這些漏洞適用性廣、漏洞利用代碼編寫簡單，因此倍受挖礦木馬家族喜愛。但這些漏洞的POC（漏洞概念驗證）幾乎都是2018年5月之前公開的，5月之後就極少有類似的POC被公開，也就很難被挖礦木馬家族所使用。沒有新的漏洞利用加入將導致挖礦木馬家族更新速度減緩，而老漏洞被修補也會使得挖礦殭屍網路「入不敷出」。

2018年被挖礦木馬所利用的Web應用漏洞

Web應用漏洞POC的公開對挖礦木馬的影響如何？下圖展示了WannaMine挖礦家族2018年4月到2018年5月每星期攻擊的計算機數量變化趨勢。

由圖中可見WannaMine家族攻擊計算機數量在4月中旬後開始飆升，而Weblogic反序列化漏洞CVE-2018-2628的POC也正是在這個時候被公開。果不其然，國外安全廠商Morphus Labs發現了WannaMine家族在CVE-2018-2628的相關POC公開的數小時之後開始利用該漏洞進行攻擊（https://morphuslabs.com/weblogic-exploited-in-the-wild-again-8b2047d1a9c4），這也和圖中所示的攻擊趨勢吻合。可見，每當有新的適用於挖礦木馬家族入侵的Web應用漏洞POC被公開，必然會帶來一波巨大的挖礦木馬攻勢。

WannaMine挖礦家族2018年4月-5月攻擊趨勢

有趣的是，加密貨幣的價格與挖礦木馬的攻擊趨勢並無明顯關聯。以絕大多數挖礦木馬選擇的幣種門羅幣為例。

如圖所示，門羅幣兌美元價格在2017年底達到頂峰，從2018年開始快速跌落。但這並沒有阻止挖礦木馬的爆發，在這段時間挖礦木馬反而發展迅猛。而8月之後，門羅幣價格有些許回暖，挖礦木馬攻擊趨勢反而緩慢下降。可見，加密貨幣價格不是決定挖礦木馬發展趨勢的主要原因。

門羅幣價格2017年11月-2018年11月變化趨勢

挖礦木馬在攻擊形式上與其他木馬並未有太大區別，多是通過漏洞利用、弱口令爆破、非法應用傳播等其他木馬也使用的手段完成攻擊。挖礦木馬與其他木馬的區別在於獲利方式，加密貨幣的出現為木馬提供一種簡單粗暴的獲利方式，即使加密貨幣價格下跌，其收益依然不低於DDoS服務、加密勒索等其他獲利方式。此外，挖礦木馬的獲利方式相比較其他獲利方式在風險成本上也更可控——攻擊不會造成太大動靜、法律風險也相對較低。因此攻擊者更看重的可能是挖礦木馬的這些優點，而非加密貨幣的價格。

Windows伺服器一直是挖礦木馬的重災區，下圖展示了針對Windows伺服器的挖礦木馬與針對PC的挖礦木馬在數量上的對比，針對Windows伺服器的挖礦木馬佔比超過了80%。攻擊者將目光集中於Windows伺服器的主要原因是伺服器無論在性能上或者是在用戶接觸頻率上對於攻擊者而言都是極度友好的——伺服器的性能大部分要遠高於個人電腦，並且伺服器大多是「疏於看管」的，挖礦木馬可以長期潛伏。

針對Windows伺服器的挖礦木馬與針對PC的挖礦木馬數量對比

不過這並不代表針對PC的挖礦木馬可以被忽視。針對PC的挖礦木馬家族OnesystemCareMiner、HiddenPowerShellMiner、飛熊礦業等家族仍然在活躍中。圖7展示了針對PC的挖礦木馬的主要傳播渠道分布，其中網頁掛馬和破解軟體是這類挖礦木馬最為常見的傳播渠道。

針對PC的挖礦木馬主要傳播渠道分布

挖礦家族競爭激烈

在針對Windows伺服器的挖礦木馬家族中，具有殭屍網路性質的家族控制較多的設備，而不具備殭屍網路性質的家族只能在每次新的漏洞POC公開之後的一段時間發起一次或幾次攻擊，一旦攻擊成功就植入挖礦木馬，並不嘗試對受害計算機進行持續控制，因此這類家族控制的資源較少。此外，不具有殭屍網路性質的挖礦木馬家族數量要遠大於具有殭屍網路性質的挖礦木馬，因此每個家族能夠瓜分到的資源更是少的可憐。

挖礦木馬家族性質以及佔用資源分布

如上圖所示，具有殭屍網路性質的挖礦木馬家族佔據了85%的資源，這是不具有殭屍網路性質的挖礦木馬家族的將近6倍之多，而這些資源只掌握在WannaMine、Mykings等幾個家族手中。而另一邊則呈現出了另一種場景——15%左右的資源被數十個家族瓜分，這也加劇了家族之間的競爭。

在這種惡劣的競爭環境下，挖礦木馬家族就需要一些特殊的技能讓自己生存下來。「8220」組織就是具備這類技能的家族，除了在攻擊代碼中增加對抗其他挖礦家族的模塊之外，「8220」組織還會時刻記錄被入侵的機器信息以便在挖礦程序被安全軟體或者被其他挖礦家族清除之後能夠第一時間再次入侵機器植入挖礦木馬。

這裡有一組有趣的數據，如圖所示，在「8220」家族在5月初更新載荷下載URL前後（圖中紅框所標出的條目），其入侵成功的計算機數量幾乎不變，可見「8220」家族雖然不具有殭屍網路性質，但其仍然能將受害機器控制在手中。

「8220」挖礦木馬家族5月初更新前後入侵計算機數量對比

隨著漏洞利用的「小白化」，將會有更多攻擊者加入這場資源爭奪戰中，不過資源只留給有準備的人，大多攻擊者會漸漸消失在這個舞台上。

對於具有橫向滲透功能的挖礦木馬家族，Mimikatz和「永恆之藍」漏洞幾乎是所有這類家族所使用的武器。這些家族中將近70%的家族帶有「永恆之藍」傳播模塊，30%的家族帶有Mimikatz橫向滲透模塊，如圖所示。

使用Mimikatz和「永恆之藍」漏洞進行橫向滲透的家族比例

當然，這兩款橫向滲透利器不僅僅在挖礦木馬家族中受歡迎，在其他攻擊領域也被廣泛使用，主要原因還是在於其功能強大並且操作簡單，無論是對於新手還是對於專業黑產人員都是極其友好的。

最後，說了這麼多挖礦木馬趨勢，有沒有什麼防護建議？

Windows伺服器挖礦木馬防護建議：

（1） 及時為系統打補丁。避免漏洞攻擊；

（2） 及時更新Web服務端、資料庫等對外開放服務的應用到最新版本，避免漏洞攻擊；

（3） 使用強度高的Windows登錄密碼以及Web應用、資料庫登錄密碼，防禦弱口令爆破攻擊；

（4） 安裝殺軟軟體或伺服器安全軟體防禦挖礦木馬攻擊。

PC挖礦木馬防護建議：

（1） 及時為系統打補丁。避免漏洞攻擊；

（2） 不打開來歷不明的文檔，以及帶有圖片、文件夾、文檔、音視頻等圖標的文件；

（3） 不瀏覽被安全軟體提示為惡意的站點；

（4） 不安裝來歷不明的軟體、外掛等，不打開被安全軟體標記為惡意的文件；

（5） 安裝殺毒軟體防禦挖礦木馬攻擊。

文章來源360安全，雷鋒網宅客頻道編輯。雷鋒網宅客頻道（微信公眾號：letshome），專註先鋒科技，講述黑客背後的故事，歡迎關注雷鋒網宅客頻道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！