“剁手黨”們終于度過了“雙十一”這個(gè)令錢包變癟的購物節(jié)，不過也有許多“佛系買家”并沒有參與到這場狂歡中。但是，有幾位“佛系”網(wǎng)友反映，自己雖然沒有剁手買買買，卻因?yàn)榫揞~電費(fèi)而面臨吃土的困境。

原來，這幾位網(wǎng)友是由于電腦中不幸被植入了挖礦木馬，不僅電費(fèi)比以前多了不少，連電腦都變的卡慢無比，瀕臨退休。

“挖礦木馬”興起于2012年，自2017年下半年開始進(jìn)入普通網(wǎng)民視野，在2018年上半年依舊保持迅勐的發(fā)展速度。那么最近挖礦木馬又有什么新趨勢(shì)呢?

2018年上半年每月遭到挖礦木馬攻擊的計(jì)算機(jī)數(shù)量變化趨勢(shì)

Windows平臺(tái)挖礦木馬呈緩慢下降趨勢(shì)

下圖展示了2018年下半年以來每日遭到挖礦木馬攻擊的計(jì)算機(jī)數(shù)量?？梢钥闯?，到8月中旬達(dá)到最高峰之后，攻擊開始呈現(xiàn)緩慢下降趨勢(shì)，10月后數(shù)據(jù)基本穩(wěn)定。

2018年下半年每日遭到挖礦木馬攻擊的計(jì)算機(jī)數(shù)量

造成挖礦木馬攻擊數(shù)量下降的直接原因是多個(gè)大型挖礦僵尸網(wǎng)絡(luò)在8月至10月之間更新緩慢甚至停止更新。以Mykings挖礦僵尸網(wǎng)絡(luò)為例，Mykings入侵時(shí)所使用的Download URL在8月、9月兩個(gè)月未進(jìn)行更新，這也導(dǎo)致在這兩個(gè)月中Mykings的網(wǎng)絡(luò)擴(kuò)建基本停滯。

Mykings僵尸網(wǎng)絡(luò)2018年下半年所使用的Download URL列表

攻擊者也關(guān)注安全動(dòng)態(tài)?

而造成挖礦木馬攻擊數(shù)量下降另一個(gè)原因可能是2018年下半年公開的影響Web應(yīng)用的漏洞POC相比較上半年和去年要少得多。

下表展示了2018年以來較常被挖礦木馬家族利用的Web應(yīng)用漏洞，這些漏洞適用性廣、漏洞利用代碼編寫簡單，因此倍受挖礦木馬家族喜愛。但這些漏洞的POC(漏洞概念驗(yàn)證)幾乎都是2018年5月之前公開的，5月之后就極少有類似的POC被公開，也就很難被挖礦木馬家族所使用。沒有新的漏洞利用加入將導(dǎo)致挖礦木馬家族更新速度減緩，而老漏洞被修補(bǔ)也會(huì)使得挖礦僵尸網(wǎng)絡(luò)“入不敷出”。

2018年被挖礦木馬所利用的Web應(yīng)用漏洞

Web應(yīng)用漏洞POC的公開對(duì)挖礦木馬的影響如何?下圖展示了WannaMine挖礦家族2018年4月到2018年5月每星期攻擊的計(jì)算機(jī)數(shù)量變化趨勢(shì)。

由圖中可見WannaMine家族攻擊計(jì)算機(jī)數(shù)量在4月中旬后開始飆升，而Weblogic反序列化漏洞CVE-2018-2628的POC也正是在這個(gè)時(shí)候被公開。果不其然，國外安全廠商Morphus Labs發(fā)現(xiàn)了WannaMine家族在CVE-2018-2628的相關(guān)POC公開的數(shù)小時(shí)之后開始利用該漏洞進(jìn)行攻擊(https://morphuslabs.com/weblogic-exploited-in-the-wild-again-8b2047d1a9c4)，這也和圖中所示的攻擊趨勢(shì)吻合。可見，每當(dāng)有新的適用于挖礦木馬家族入侵的Web應(yīng)用漏洞POC被公開，必然會(huì)帶來一波巨大的挖礦木馬攻勢(shì)。

WannaMine挖礦家族2018年4月-5月攻擊趨勢(shì)

有趣的是，加密貨幣的價(jià)格與挖礦木馬的攻擊趨勢(shì)并無明顯關(guān)聯(lián)。以絕大多數(shù)挖礦木馬選擇的幣種門羅幣為例。

如圖所示，門羅幣兌美元價(jià)格在2017年底達(dá)到頂峰，從2018年開始快速跌落。但這并沒有阻止挖礦木馬的爆發(fā)，在這段時(shí)間挖礦木馬反而發(fā)展迅勐。而8月之后，門羅幣價(jià)格有些許回暖，挖礦木馬攻擊趨勢(shì)反而緩慢下降。可見，加密貨幣價(jià)格不是決定挖礦木馬發(fā)展趨勢(shì)的主要原因。

門羅幣價(jià)格2017年11月-2018年11月變化趨勢(shì)

挖礦木馬在攻擊形式上與其他木馬并未有太大區(qū)別，多是通過漏洞利用、弱口令爆破、非法應(yīng)用傳播等其他木馬也使用的手段完成攻擊。挖礦木馬與其他木馬的區(qū)別在于獲利方式，加密貨幣的出現(xiàn)為木馬提供一種簡單粗暴的獲利方式，即使加密貨幣價(jià)格下跌，其收益依然不低于DDoS服務(wù)、加密勒索等其他獲利方式。此外，挖礦木馬的獲利方式相比較其他獲利方式在風(fēng)險(xiǎn)成本上也更可控——攻擊不會(huì)造成太大動(dòng)靜、法律風(fēng)險(xiǎn)也相對(duì)較低。因此攻擊者更看重的可能是挖礦木馬的這些優(yōu)點(diǎn)，而非加密貨幣的價(jià)格。

針對(duì)PC的挖礦木馬不容小視

Windows服務(wù)器一直是挖礦木馬的重災(zāi)區(qū)，下圖展示了針對(duì)Windows服務(wù)器的挖礦木馬與針對(duì)PC的挖礦木馬在數(shù)量上的對(duì)比，針對(duì)Windows服務(wù)器的挖礦木馬占比超過了80%。攻擊者將目光集中于Windows服務(wù)器的主要原因是服務(wù)器無論在性能上或者是在用戶接觸頻率上對(duì)于攻擊者而言都是極度友好的——服務(wù)器的性能大部分要遠(yuǎn)高于個(gè)人電腦，并且服務(wù)器大多是“疏于看管”的，挖礦木馬可以長期潛伏。

針對(duì)Windows服務(wù)器的挖礦木馬與針對(duì)PC的挖礦木馬數(shù)量對(duì)比

不過這并不代表針對(duì)PC的挖礦木馬可以被忽視。針對(duì)PC的挖礦木馬家族OnesystemCareMiner、HiddenPowerShellMiner、飛熊礦業(yè)等家族仍然在活躍中。圖7展示了針對(duì)PC的挖礦木馬的主要傳播渠道分布，其中網(wǎng)頁掛馬和破解軟件是這類挖礦木馬最為常見的傳播渠道。

針對(duì)PC的挖礦木馬主要傳播渠道分布

挖礦家族競爭激烈

在針對(duì)Windows服務(wù)器的挖礦木馬家族中，具有僵尸網(wǎng)絡(luò)性質(zhì)的家族控制較多的設(shè)備，而不具備僵尸網(wǎng)絡(luò)性質(zhì)的家族只能在每次新的漏洞POC公開之后的一段時(shí)間發(fā)起一次或幾次攻擊，一旦攻擊成功就植入挖礦木馬，并不嘗試對(duì)受害計(jì)算機(jī)進(jìn)行持續(xù)控制，因此這類家族控制的資源較少。此外，不具有僵尸網(wǎng)絡(luò)性質(zhì)的挖礦木馬家族數(shù)量要遠(yuǎn)大于具有僵尸網(wǎng)絡(luò)性質(zhì)的挖礦木馬，因此每個(gè)家族能夠瓜分到的資源更是少的可憐。

挖礦木馬家族性質(zhì)以及占用資源分布

如上圖所示，具有僵尸網(wǎng)絡(luò)性質(zhì)的挖礦木馬家族占據(jù)了85%的資源，這是不具有僵尸網(wǎng)絡(luò)性質(zhì)的挖礦木馬家族的將近6倍之多，而這些資源只掌握在WannaMine、Mykings等幾個(gè)家族手中。而另一邊則呈現(xiàn)出了另一種場景——15%左右的資源被數(shù)十個(gè)家族瓜分，這也加劇了家族之間的競爭。

在這種惡劣的競爭環(huán)境下，挖礦木馬家族就需要一些特殊的技能讓自己生存下來。“8220”組織就是具備這類技能的家族，除了在攻擊代碼中增加對(duì)抗其他挖礦家族的模塊之外，“8220”組織還會(huì)時(shí)刻記錄被入侵的機(jī)器信息以便在挖礦程序被安全軟件或者被其他挖礦家族清除之后能夠第一時(shí)間再次入侵機(jī)器植入挖礦木馬。

這里有一組有趣的數(shù)據(jù)，如圖所示，在“8220”家族在5月初更新載荷下載URL前后(圖中紅框所標(biāo)出的條目)，其入侵成功的計(jì)算機(jī)數(shù)量幾乎不變，可見“8220”家族雖然不具有僵尸網(wǎng)絡(luò)性質(zhì)，但其仍然能將受害機(jī)器控制在手中。

“8220”挖礦木馬家族5月初更新前后入侵計(jì)算機(jī)數(shù)量對(duì)比

隨著漏洞利用的“小白化”，將會(huì)有更多攻擊者加入這場資源爭奪戰(zhàn)中，不過資源只留給有準(zhǔn)備的人，大多攻擊者會(huì)漸漸消失在這個(gè)舞臺(tái)上。

橫向滲透是Mimikatz和“永恒之藍(lán)”的天下

對(duì)于具有橫向滲透功能的挖礦木馬家族，Mimikatz和“永恒之藍(lán)”漏洞幾乎是所有這類家族所使用的武器。這些家族中將近70%的家族帶有“永恒之藍(lán)”傳播模塊，30%的家族帶有Mimikatz橫向滲透模塊，如圖所示。

使用Mimikatz和“永恒之藍(lán)”漏洞進(jìn)行橫向滲透的家族比例

當(dāng)然，這兩款橫向滲透利器不僅僅在挖礦木馬家族中受歡迎，在其他攻擊領(lǐng)域也被廣泛使用，主要原因還是在于其功能強(qiáng)大并且操作簡單，無論是對(duì)于新手還是對(duì)于專業(yè)黑產(chǎn)人員都是極其友好的。

最后，說了這么多挖礦木馬趨勢(shì)，有沒有什么防護(hù)建議?

Windows服務(wù)器挖礦木馬防護(hù)建議：

• 及時(shí)為系統(tǒng)打補(bǔ)丁。避免漏洞攻擊;
• 及時(shí)更新Web服務(wù)端、數(shù)據(jù)庫等對(duì)外開放服務(wù)的應(yīng)用到最新版本，避免漏洞攻擊;
• 使用強(qiáng)度高的Windows登錄密碼以及Web應(yīng)用、數(shù)據(jù)庫登錄密碼，防御弱口令爆破攻擊;
• 安裝殺軟軟件或服務(wù)器安全軟件防御挖礦木馬攻擊。

PC挖礦木馬防護(hù)建議：

• 及時(shí)為系統(tǒng)打補(bǔ)丁。避免漏洞攻擊;
• 不打開來歷不明的文檔，以及帶有圖片、文件夾、文檔、音視頻等圖標(biāo)的文件;
• 不瀏覽被安全軟件提示為惡意的站點(diǎn);
• 不安裝來歷不明的軟件、外掛等，不打開被安全軟件標(biāo)記為惡意的文件;
• 安裝殺毒軟件防御挖礦木馬攻擊。