闷声发大财年度之星：2017挖矿木马的疯狂敛财暗流

　　在这些被植入挖矿脚本的网站中，一部分是贪图利益的站长主动将挖矿脚本嵌入网页中的，而另一部分则是黑客入侵网站之后植入挖矿脚本的。 2017 年 11 月我们发现一批网站被植入了带有相同标识符的ProjectPoi挖矿脚本，但这一批网站之间并没有丝毫关联，可以推测，是黑客入侵网站之后植入的挖矿脚本。图 23 展示了这些网站中植入的挖矿脚本。

　　图23 一些被黑客入侵的站点中植入的挖矿脚本

　　不同于通过入侵服务器搭建挖矿木马僵尸网络，网页挖矿脚本更容易被用户所察觉，但由于利益驱使依然有许多网站中被植入了挖矿脚本。图 24 展示了 2017 年 9 月- 12 月网页植入挖矿脚本数量变化趋势。不难看出，网页挖矿脚本数量还在不断增加，特别是进入 12 月后数量有明显上涨的趋势。

　　图242017 年 11 月- 12 月网页挖矿脚本数量变化趋势

　　网页挖矿脚本之所以如此活跃，主要是因为大部分挖矿脚本都来自于色情网站这一类特殊的站点，由于这类网站的高访问量导致挖矿脚本数量的持续升高。图 25 展示了网页挖矿脚本在各类网站中出现的比例，不难看出，色情网站是网页挖矿脚本的重灾区。

　　图25 各类网站植入挖矿脚本比例

　　相比较挖矿木马僵尸网络，网页挖矿脚本属于后起之秀，但出现时间晚并不能阻止此类挖矿木马的兴起，巨大的利益驱动促使更多的黑产从业者投身挖矿事业中。但由于网页挖矿隐蔽性较低，未来黑产从业者可能会将挖矿目标转移到网页游戏和客户端游戏中，通过游戏的资源高消耗率掩盖挖矿机的运作。而移动平台也有可能是挖矿木马的重要目标。

　　0x4 防范与总结

　　挖矿木马的崛起源于数字货币交易价格的持续走高，从当前的情况看，数字货币交易价格还将持续攀升，这也将可能导致挖矿木马数量的激增。因此，如何防范挖矿木马是重中之重。

　　1. 防范挖矿木马僵尸网络

　　挖矿木马僵尸网络的目标是服务器，黑客通过入侵服务器植入挖矿机程序获利。如果能对黑客的入侵行为进行有效防范，就能够将挖矿木马僵尸网络扼杀在摇篮中。作为服务器管理员，进行如下工作是防范挖矿木马僵尸网络的关键：

　　(1)避免使用弱口令。从上文可知，“隐匿者”这类规模庞大的僵尸网络拥有完备的弱口令爆破模块，因此避免使用弱口令可以有效防范僵尸程序发起的弱口令爆破。管理员不仅应该在服务器登录帐户上使用强密码，在开放端口上的服务(例如MSSQL服务，MySQL服务)也应该使用强密码。

　　(2)及时为操作系统和相关服务打补丁。许多挖矿木马僵尸网络利用“永恒之蓝”漏洞利用武器进行传播，而“隐匿者”更是在“永恒之蓝”漏洞利用武器泄露的几天后就开始将它用于真实攻击，可见黑客对于1day，Nday漏洞的利用十分娴熟。由于大部分漏洞细节公布之前相应厂商已经推送相关补丁，如果服务器管理员能够及时为系统和相关服务打补丁就能有效避免漏洞利用攻击。服务器管理员需要为存在被攻击风险的服务器操作系统、Web服务端、开放的服务等及时打补丁。

　　(3)定期维护服务器。由于挖矿木马会持续驻留在计算机中，如果服务器管理员未定期查看服务器状态，那么挖矿木马就难以被发现。因此服务器管理员应定期维护服务器，内容包括但不限于：查看服务器操作系统CPU使用率是否异常、是否存在可疑进程、WMI中是否有可疑的类、计划任务中是否存在可疑项、是否有可疑的诸如PowerShell进程、mshta进程这类常被用于持续驻留的进程存在。

　　2.防范网页挖矿脚本

　　网页挖矿脚本一般针对PC，因此也较容易被发现，用户可以通过以下几方面防范网页挖矿脚本：

　　(1)浏览网页时留意CPU使用率。由于挖矿脚本的运行会导致CPU使用率飙升，如果用户在浏览网页时发现计算机CPU使用率飙升且大部分CPU使用来自于浏览器，那么网页中可能嵌入挖矿脚本。

　　(2)不访问浏览器或杀毒软件标记为高风险的网站。如今大部分杀软和主流浏览器都具备检测网页挖矿脚本的能力，若用户访问的网站是被标注为高风险的恶意网站，那么网站中可能嵌入了挖矿脚本。不访问被标记为高风险的网站也能避免挂马攻击。

　　 2017 年是挖矿木马爆发的一年，而 2018 年可能是挖矿木马从隐匿的角落走向大众视野的一年。阻止挖矿木马的兴起是杀毒软件的重要责任，而防范挖矿木马的入侵是每一位服务器管理员、PC用户需要时刻注意的重点。防御挖矿木马，保护用户的计算机安全，任重而道远!

        0x5 参考链接

        [1] 利用服务器漏洞挖矿黑产案例分析; http://www.freebuf.com/articles/system/129459.html

        [2] 悄然崛起的挖矿机僵尸网络：打服务器挖价值百万门罗币;http://www.freebuf.com/articles/web/146393.html

        [3] Persistent drive-by cryptomining coming to a browser near you;https://blog.malwarebytes.com/cybercrime/2017/11/persistent-drive-by-cryptomining-coming-to-a-browser-near-you

        [4] “门罗币最近没落了吗?什么原因?”问题“艾俊强”的回答;https://www.zhihu.com/question/60058310/answer/222755086

（编辑：东莞站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!