关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

挖矿木马为何泛滥成灾

发布时间:2022-05-11 15:17:36

挖矿木马不是所谓的“良性”病毒。挖矿木马除了影响系统运行速度,使资源占用率飙升外,还会普遍留在后门。如果他们中了挖矿木马,企业的机密信息将岌岌可危。今天这篇文章给大家详细了解一下挖矿木马。


比特币、假币和挖矿木马


比特币是一种基于区块链技术的虚拟加密货币。比特币具有匿名性和难以追踪的特点。经过十几年的发展,已经成为网络黑产最喜欢的交易媒介。大部分勒索软件会对受害者的数据进行加密后勒索昂贵的比特币。比特币在2021年达到了64000美元的天价。比特币的获取需要高性能计算机(也称矿机,一般配备顶级CPU和GPU)按照特定算法进行计算,计算过程被形象地称为“挖矿”。


矿机很贵。为了生产比特币,有人不惜重金购买大量矿机,形成网络集群进行挖矿。采矿也要消耗大量的电力,所以为了寻找偏远地区的小水电和火电,往往会建矿井。因为电便宜,所以有人为了节约成本而偷电。


数字加密货币市值暴涨,挖矿业务就会水涨船高,高端CPU、GPU、高端显卡、大容量硬盘都会被炒到天价,卖断货。目前,中国政府已经宣布将在二氧化碳排放峰值时实现碳中和的目标。消耗大量能源的虚拟加密货币的生产和交易已被认定为非法,中国所有(生产加密货币的)矿山都必须关闭。


因为挖矿需要大量的财务投入,所以从一开始就有人想到了用木马控制别人的电脑来组建僵尸网络集群进行挖矿,也就是所谓的“挖矿木马”。因为获取(开采)比特币越来越难,所以也诞生了其他模仿比特币的伪造加密货币,比如门罗币、莱特币、马斯克钟爱的dogecoin等。其中,挖矿木马最喜欢门罗币(XMR)。门罗币自诞生以来,市值不断攀升,现已超过10亿美元。


严重低估挖矿木马的危害


新的基础设施推动企业全方位数字化,越来越多的政企机构将业务放在云端,从而快速提升公共服务、生产生活的效率,让每个人都成为数字化的受益者。与此同时,数字化转型过程中也存在新的安全风险,比如影响几乎所有人的信息泄露。人们对数字系统的依赖要求系统的稳定运行。如果商业服务因故中断,会给社会功能的正常运行带来很多麻烦。


挖矿木马攻击是一种高发的威胁,很有可能造成业务系统中断。这是最常见的网络攻击。根据德迅云安全团队的最新测试结果,公有云的攻击中,以挖矿为目的的入侵占54.9%,已经超过一半。海外科技媒体报道,挖矿木马攻击占所有安全事件的25%以上。


黑客通过各种技术手段传播和扩散挖矿木马。木马控制的电脑越多,木马存活的时间越长,获得的挖矿利润就越多。挖矿木马最明显的影响就是消耗大量的系统资源,使得系统的其他软件或服务运行缓慢,性能恶化。如果主机被挖矿木马入侵,正常服务可能会因性能不佳而变慢,甚至服务崩溃而中断。当管理员通过top -c命令检查系统进程时,会发现CPU使用率极高。




为了达到长期隐藏挖掘的目的,挖掘木马会采用很多技巧。据无忧云安全专家分析,部分挖矿木马会设置系统资源上限,比如不超过80%。一些挖矿木马设计了检测系统工具运行的能力。当进程管理器启动时,挖掘进程将立即停止。或者电脑黑了就只我的,或者有人在操作电脑就退出等等。还有其他复杂的技术,包括隐藏进程,或者替换伪装系统进程,欺骗管理员检查等。


很多人认为挖矿木马只是拖慢系统,消耗系统资源,没有破坏性后果。这种观点严重低估了挖矿木马的危害,挖矿木马的影响远不止于此。


在无忧云安全团队的日常运行中,分析出大量的挖矿木马家族,不仅消耗了受害者主机的大量计算机资源,还干扰了正常的业务运行。挖矿木马一般有以下行为:


添加SSH免密登录后门


添加具有管理员权限的帐户。


安装IRC后门并接受来自远程IRC服务器的指令。


支持多个系统工具:ps、top、pstree等。


安装Rootkit后门


关闭Linux/Windows防火墙


关闭Windows Defender。


卸载云主机安全软件。


添加计划任务和启动项目。


清除系统日志


这些行为将严重威胁服务器的安全。挖矿木马的控制者可能随时窃取服务器的机密信息,控制服务器实施DDoS攻击,或者以丢失的服务器为跳板攻击其他电脑,甚至随时释放勒索软件,使服务器完全瘫痪。关闭并卸载防火墙和主机安全软件,会使受害主机的安全防护能力消失,使服务器被其他黑团伙入侵控制的可能性增加一倍。


除了云主机,挖矿木马的目标还包括广泛的设备:物联网智能设备,包括智能路由器、网络摄像头等。这种设备虽然性能差,但数量巨大,所以被一些矿工使用。


物联网设备厂商大多使用开源系统,自身安全能力相对不足,很难修复所用组件的高危漏洞。同时,使用这类设备的用户往往不会过多考虑安全风险,主动修复漏洞。导致大量物联网设备因漏洞被入侵并持续控制,直到用户淘汰旧设备,更换新设备。被控制的物联网设备不仅用于挖矿,还用于收集隐私信息,通过DDoS攻击非法获利。


挖掘木马入侵通道


利用漏洞武器和弱口令爆破攻击是传播挖矿木马攻击最常用的两种方法。供应链被攻击的案例也时有发生。案例虽少,但具有影响大的特点。


无忧云安全团队日常分析大量挖矿木马家族,很多挖矿木马非常刁钻,尤其擅长利用流行漏洞攻击武器入侵。当一个利用难度低、适用范围广的高危漏洞出现时,就会发现一群木马像金矿一样蜂拥而至(通常从漏洞被揭露到漏洞被利用只有几天时间)。


/template/Home/News/PC/Static