网络安全隐患之：“挖矿木马”介绍

“新基建”推动数字化进程，随着云计算、物联网、大数据的不断发展，越来越多的政企机构将业务上云，公共服务、生产、生活各方面的便捷性提高，随之而来，网络安全隐患也在不断增多，对生产业务和生活的危害性也逐渐增大。今天我们就来看看常见的一种网络安全隐患：“挖矿木马”。

一、什么是”挖矿木马“

当前热度高且常见的网络攻击就是被我们熟知的“挖矿木马”，是一种重要的网络安全隐患。区块链技术以及数字货币随着信息化的发展被各种热炒，如：比特币、门罗币、以太币等层出不穷。以热度高的比特币为例，具有难以追踪、匿名等特点，经过十余年的发展，已成为网络黑客喜爱使用的交易方式。比特币的获得需要高性能计算机按特定算法计算，计算过程被称为“挖矿”。挖矿需要投入大量计算能力，也就是需要大量计算机的计算力，而支撑这种计算力就需要大量的财力。因此，就有人就想到利用“木马”控制别人的计算机，建立僵尸网络，来帮自己挖矿的办法，这就是 “挖矿木马”。

“挖矿木马”这种网络安全隐患的传播是黑客通过利用各种手段将挖矿程序传播扩散到用户的计算机中，在用户不知情的情况下偷偷利用用户的计算机进行执行挖矿从而获取收益，木马控制的计算机越多，获得的挖矿收益也就越多。

二、“挖矿木马“的工作原理：

• 可执行文件：存储在机器上的典型恶意程序，通常通过设置计划任务或修改注册表项实现持久化，长期进行加密货币的挖矿作业。 
• 基于浏览器的“挖矿木马“：使用 JavaScript（或类似技术）的挖矿木马是在浏览器中执行。 只要浏览器打开被植入挖矿木马的网站，就会执行挖矿执行，持续消耗资源。 
• 无文件“挖矿木马“：利用如 PowerShell 等合法工具在机器的内存中执行挖矿作业，具有不落地、难检测等特点

三、“挖矿木马“的传播方式：

攻击者主动发起

• 漏洞利用：利用系统漏洞快速获取相关服务器权限，植入“挖矿木马“是目前普遍的传播方式之一。常见的漏洞包括 Windows 系统漏洞、服务器组件插件漏洞、中间件漏洞、web 漏洞等；部分攻击者选择直接利用永恒之蓝漏洞，降低了利用漏洞攻击的难度，提高了”挖矿木马“的传播能力。例如传播较广的WannaMine 挖矿家族，利用了永恒之蓝漏洞在内网蠕虫式传播，给不少公司和机构带来巨大损失；
• 弱口令：攻击者通常会针对 redis、ssh、3389、mssql等服务进行爆破弱口令攻击。爆破成功后，尝试获取系统权限，植入“挖矿木马“并设置持久化。

攻击者欺骗用户

• 伪装正常软件：攻击者将“挖矿木马“伪装为游戏软件、娱乐社交软件、安全软件、游戏外挂等进行传播，欺骗用户下载并执行。由于多数游戏对显卡、CPU 等硬件性能要求较高，因此”挖矿木马“通常伪装成游戏辅助外挂，通过社交群、网盘等渠道传播，感染大量机器。

四、”挖矿木马“的危害

“挖矿木马“是重要的网络安全隐患，它带来的危害有：

• 占用计算机资源，导致计算机无法正常工作，不能及时处理用户的正常任务；
• 增加电力消耗，加快电脑CPU、内存等硬件老化速度。
• 黑客利用被感染机器在内网横向攻击服务器、数据库等高价值资产，造成更严重的网络安全事件；
• 企业敏感信息泄露、机密文件丢失；
• 感染破坏性更强的病毒，如：勒索病毒；
• 黑客利用被感染机器攻击其它目标，造成声誉受损的同时违反网络安全法。

五、“挖矿木马“的治理思路：

事前治理：

• 通过漏洞扫描产品或渗透测试发现并修复网络及资产的安全漏洞，减少被黑客攻击的途径；
• 部署防火墙、入侵检测防御等安全解决方案，防患于未然；
• 制定安全事件应急方案，定期进行攻防演练及安全培训活动。

事中治理：

• 挖矿木马感染主机和矿池的通信过程使用的通信协议是常用的 stratum 协议，该协议内容 为 JSON 数据格式。stratum 协议的 JSON 数据格式存在多个固定的特征字段，在检测通信内容时， 可根据这些特征设置告警规则，并应用与 suricata、snort 和其他通信检测软件或设备，如IPS产品；
• 检查计算机对外的通信行为，及时拦截对矿池地址或域名的通信连接；使用威胁情报进行关联查询，综合域名、对应 IP、关联样本进行判 定矿池地址威胁性；矿池地址一般有域名+端口或 IP 地址+端口的形式，域名可能也和公有的矿池地址一样存在一些特殊字符串，如：pool、xmr、mine 等。在检测过程中都可结合威胁情报和对应通信内容进行综合判定。
• 监测内网计算机之间东西向流量，及时阻断病毒传播行为。
• 事后治理：
• 针对被感染主机，确定病毒感染途径，通过优化安全策略等方式加强防护等级；
• 使用杀毒软件、重装系统等方式清理挖矿木马。

六、锐捷“挖矿木马”防治解决方案

锐捷网络适时推出锐捷“挖矿木马”防治解决方案，方案通过联动不同的安全产品形成不同的方案套餐，用以解决这种网络安全隐患。具体实现如下效果：

• 防得住、少通报：通过大数据威胁情报、NGFW（防火墙）挖矿特征和行为识别，拦截绝大部分挖矿主机外联行为，对南北向非法外联请求拦截阻断；通过流量行为模型和挖矿行为特征精准主动发现内部挖矿主机；
• 找得快、查到人：态势感知联动认证平台，实名关联反查溯源，可以准确定位到真实用户身份；保存出口安全日志，一旦遇到上级通报，可以及时追查，妥善处理
• 智下线、防扩散：联动sflow交换机精准定位病毒扩散行为，留存全网安全日志，实现挖矿和各种安全风险的专业安全关联分析，并可以联动SAM、交换机实现失陷感染主机的自动下线隔离。

方案套餐如下：

• 刚需型：A套餐，阻断 95%以上挖矿外联，很大程度避免被监管部门通报
• 强化型：B套餐，在刚需型基础上，主动发现内部挖矿行为，精准溯源到实名身份和主机
• 专业型：C套餐，在强化型基础上，进一步实现挖矿主机自动下线隔离，达到“精准防控”效果，避免内部威胁扩散

锐捷网络的”挖矿木马“解决方案，可以帮助客户有效地去除这类网络安全隐患。

相关推荐：

锐捷挖矿木马防治解决方案

锐捷高校挖矿木马防治解决方案报告