CNCERT：2021年惡意挖礦威脅趨勢分析報告（35頁）.pdf

《CNCERT：2021年惡意挖礦威脅趨勢分析報告（35頁）.pdf》由會員分享，可在線閱讀，更多相關《CNCERT：2021年惡意挖礦威脅趨勢分析報告（35頁）.pdf（35頁珍藏版）》請在三個皮匠報告上搜索。

1、 20212021 年年惡意惡意挖礦威脅趨勢挖礦威脅趨勢分析分析報告報告 CNCERT 與安恒信息聯合發布 2022 年 4 月 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第2頁 目錄目錄 摘要 . 4 一、挖礦活動介紹 . 5 1. 挖礦、惡意挖礦與加密貨幣 . 5 什么是加密貨幣？ . 5 什么是挖礦？ . 5 什么是惡意挖礦？ . 5 2. 感染挖礦木馬的跡象 . 6 3. 惡意挖礦是如何工作的？ . 6 4. 為什么會感染挖礦木馬軟件？ . 6 5. 惡意挖礦的危害 . 7 二、2021 年第四季度我國主機挖礦態勢分析 . 7 1.2021 年第四季度活躍

2、挖礦主機分析 . 8 2.2021 年第四季度活躍挖礦主機分析 . 11 三、流行挖礦威脅淺析 . 17 1. 挖礦團伙 . 17 TeamTNT 組織 . 17 H2Miner 組織 . 18 8220 挖礦團伙 . 20 匿影挖礦團伙 . 22 2. 挖礦木馬家族 . 22 Crackonosh . 22 Lemon Duck . 23 Sysrv-hello . 24 GuardMiner . 25 四、挖礦木馬的常見感染傳播方式 . 26 1. 釣魚郵件傳播 . 26 2. 通過非法網頁進行傳播 . 26 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第3頁

3、3. 軟件捆綁下載傳播 . 26 4. 通過僵尸網絡進行分發 . 27 5. 通過漏洞傳播 . 27 6. 利用軟件供應鏈感染傳播 . 29 7. 通過瀏覽器插件傳播 . 29 8. 容器鏡像污染 . 30 9. 利用移動存儲介質傳播 . 30 五、惡意挖礦趨勢解析 . 31 1. 虛擬貨幣價格激增，通過各種手段提高挖掘效率 . 31 2. 黑吃黑，黑產組織爭奪挖礦資源 . 31 3. 利用工業控制系統進行挖礦 . 32 六、防范建議 . 33 七、總結 . 34 關于 CNCERT . 34 關于杭州安恒信息技術股份有限公司 . 34 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安

4、恒信息聯合發布 第4頁 摘要摘要 隨著加密貨幣的飛速發展以及貨幣的價值提高，收益透明、見效性快的惡意挖礦業務成了網絡犯罪分子的首選， 導致惡意挖礦活動長期在全球各地持續活躍。 惡意挖礦是一種網絡中常見的威脅類別， 這種威脅具有良好的隱蔽性和非破壞性的特點，目的是感染并長久駐留在用戶設備上，通過侵占設備計算資源挖掘加密貨幣，當攻擊者侵占的設備越多，其獲利就越多，因此有不少的黑客團體通過非法入侵從而實現牟利操作。 根據 CNCERT 和安恒威脅情報中心的監測數據，聯合發布2021 年惡意挖礦威脅趨勢分析報告，該報告首先將介紹挖礦活動的相關介紹，對 2021 年第四季度我國主機挖礦態勢進行簡要分析，

5、接著從流行惡意挖礦威脅、挖礦木馬傳播方式以及惡意挖礦趨勢等方面向社會公眾發布 2021 年惡意挖礦威脅趨勢分析情況。 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第5頁 一、挖礦活動介紹一、挖礦活動介紹 1. 挖礦挖礦、惡意挖礦惡意挖礦與加密貨幣與加密貨幣 什么是加密貨幣？什么是加密貨幣？ 加密貨幣是沒有物理形式，且僅存在于網絡的數字貨幣，因其前瞻性設計、價值增長潛力和匿名性而廣受歡迎。最著名以及最成功的加密貨幣是 2009 年問世的比特幣，比特幣的成功激發了數以千計的其他加密貨幣誕生，截止 2021 年11 月，全球加密貨幣種類超過 9000 種，總市值達 2.7

6、 萬億美元，并且還處于不斷增長當中，來自世界各地的投資者都使用加密貨幣來進行買賣以及投資。 加密貨幣由“密碼學”和“貨幣”兩個詞組合而成，是一種基于復雜的數學加密原理來確保交易安全及控制交易單位創造的交易媒介。 所有加密貨幣都以加密的去中心化貨幣單位存在，可在網絡參與者之間自由轉移。 什么是挖礦？什么是挖礦？ 挖礦就像是求解一道數學題， 最先破獲數學答案就可以獲得對應的數字貨幣獎勵，“挖”指的是利用計算資源求解并驗證數字猜想的過程，“礦”指的是某種數字貨幣，而協助破解數字答案的設備就稱為“礦機”，運算能力越強的設備產出虛擬貨幣的時間就越短，而整個過程極其耗費計算資源和電力資源。而“礦池”簡單來

7、說就是挖礦的集合地，可以將全球的算力資源集合到一起進行挖礦，這樣可以大大提高挖到“礦”的概率。 什么是惡意挖礦？什么是惡意挖礦？ 惡意挖礦是指在未經用戶同意或知情的情況下使用設備 （計算機、 智能手機、平板電腦甚至服務器）挖掘加密貨幣，并以隱蔽、不易察覺的方式使用其設備的計算資源的行為， 這個劫持系統運算資源挖掘加密貨幣的過程被稱為 “加密劫持” ，也就是俗稱的“惡意挖礦”。通常情況下，惡意挖礦與設備感染挖礦木馬有關。通常情況下，惡意挖礦與設備感染挖礦木馬有關。 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第6頁 2. 感染挖礦感染挖礦木馬木馬的跡象的跡象 根據某些

8、跡象， 用戶可以初步懷疑設備已感染挖礦木馬惡意軟件， 例如 CPU使用率大幅高于正常數值，甚至 100%，以及電腦過熱、系統運行速度變慢、設備比正常情況下更頻繁地使用冷卻風扇等，即便重啟也不能解決問題，這些都是顯著的感染挖礦木馬的癥狀。 其中一些挖礦木馬家族會對自身的行為進行限制，只在 CPU 資源閑置時進行挖礦，當用戶查看 CPU 資源時，將停止挖礦，導致用戶很難察覺是否存在感染挖礦木馬的異常行為。 3. 惡意挖礦是如何工作的？惡意挖礦是如何工作的？ 惡意挖礦通常分為基于瀏覽器的驅動式網頁挖礦和二進制文件的惡意挖礦。 驅動式網頁挖礦與惡意廣告攻擊類似，攻擊者將一段 JavaScript 代碼

9、嵌入到目標網頁中。當用戶訪問該頁面時將執行 JS 腳本，進行加密貨幣挖掘，缺點是用戶退出頁面時將結束挖礦。 而二進制文件的惡意挖礦與網頁挖礦不同，一旦計算機感染惡意挖礦程序，受害設備將開始全天候的虛擬貨幣挖礦，同時將惡意進程隱藏在后臺，并啟用多種持久手段在目標設備上駐留，直到威脅被清除為止。另外，這種惡意程序所針對的設備通常是具備高性能和強大計算資源的服務器資源， 因為其可以更快地挖掘產出虛擬貨幣。 4. 為什么會感染挖礦為什么會感染挖礦木馬木馬軟件？軟件？ 挖礦木馬軟件與其他惡意家族一樣，可以借助多種傳播方式進行感染，例如釣魚郵件附件、植入網頁挖礦的網站，或與來歷不明的第三方應用進行捆綁下載

10、傳播，如激活工具、游戲外掛程序、盜版軟件、瀏覽器拓展等程序將威脅下發到目標環境。 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第7頁 而一些技術能力較強的黑產團伙則會配備漏洞 POC 用作入侵企業網絡，在目標網絡中意圖擴散挖礦木馬程序。 5. 惡意惡意挖礦的危害挖礦的危害 用戶作為挖礦的受害者，通常不會注意到自身已被感染，因為大多數挖礦木馬軟件都具備隱藏自身的功能，但這并不意味著它不會對你的設備造成損害。實際上，這種對計算資源的竊取會大幅降低運行速度，加大電力消耗，并縮短設備的使用壽命，從而影響業務或生產環境的正常運營。 受感染的設備通常會產生以下較為明顯的負面影響

11、： l 系統運行速度變慢 l 增加處理器使用率 l 設備過熱 l 增加電力消耗 惡意挖礦活動對單臺設備的影響相對較小， 但如果網絡環境遭遇大范圍傳播感染的情況，網絡將會出現明顯卡頓、運行過慢等異?，F象，導致性能降低甚至死機的情況發生，如果感染的是來自公用事業、制造業、能源行業、金融業的實體組織，惡意挖礦還可能影響其重要業務和數據的安全性，從而引起一系列的連鎖反應，造成難以評估的運營、生產損失。 二、二、 20212021 年第四季度我國主機挖礦態勢分析年第四季度我國主機挖礦態勢分析 CNCERT 通過對流行的挖礦木馬及挖礦行為開展抽樣監測，形成 2021 年第四季度我國主機挖礦態勢分析。 下面

12、分別從挖礦主機及礦池服務器兩個維度開展分析。 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第8頁 1 1.20212021 年第四季度活躍挖礦主機分析年第四季度活躍挖礦主機分析 2021 年第四季度，CNCERT 監測到涉及挖礦的通信行為 1309 億次，共涉及約 1072 萬個挖礦主機 IP。其中監測發現的活躍挖礦主機數量按月分布如下圖所示，可以發現 11 月份的挖礦事件較多，12 月份較少。 圖：2021 年第四季度活躍挖礦主機 IP 數量按月分布 如下圖所示， 在監測發現的1072萬個活躍挖礦主機IP中， 78.26%為境內IP。 圖：挖礦主機 IP 境內外分

13、布 如下圖所示，在境內的挖礦主機 IP 中，歸屬于廣東、江蘇、浙江等省份的挖礦主機 IP 較多，分別占 12.57%、11.72%、7.6%。 5009199509704246964864400000450000046000004700000480000049000005000000510000052000002021年10月2021年11月2021年12月境內78.26%境外21.56%未知0.18%2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第9頁 圖：境內挖礦主機 IP 按省份分布 此外，電信、聯通等運營商的挖礦主機 IP 較多。電信運營商的境內挖礦主機 IP

14、 有 546 萬個，占本季度挖礦主機 IP 數量的 65.04%，聯通有 189 萬個，占22.11%。 圖：境內挖礦主機 IP 所屬運營商分布 廣東12.57%江蘇11.72%浙江7.60%四川5.23%遼寧5.16%河南5.15%安徽4.89%江西3.86%河北3.79%福建3.70%山東3.69%北京3.20%湖北3.09%湖南3.06%陜西2.44%重慶2.03%上海1.92%廣西1.85%未知1.84%云南1.75%吉林1.67%黑龍江1.45%內蒙古1.40%山西1.37%天津1.31%貴州1.24%海南1.00%新疆0.66%寧夏0.45%青海0.43%甘肅0.38%西藏0.09

15、%54573011855340778244891762103290100000020000003000000400000050000006000000電信聯通移動阿里云其他2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第10頁 21.56%的境外挖礦主機 IP 中，來自伊朗、俄羅斯、印度等國家的 IP 較多，分別占 25.26%、12.96%、7.22%。 圖：境外挖礦主機 IP 按國家和地區分布 值得關注的是，部分挖礦主機 IP 非?；钴S，發起較多的與礦池服務器的連接。以下 20 個 IP 為值得關注的挖礦主機 IP 地址。 表：活躍挖礦主機 IP Top20 IP

16、* 地理位置地理位置 與礦池連接次數與礦池連接次數 106.*.*.19 上海 2300781183 120.*.*.167 廣東 1618222028 117.*.*.207 河南 994100508 120.*.*.229 廣東 944055649 193.*.*.173 廣東 836239278 122.*.*.116 河南 506139247 182.*.*.158 四川 500180722 47.*.*.17 廣東 436102159 139.*.*.147 四川 398089749 193. *.*.254 俄羅斯 394709478 伊朗25.26%俄羅斯12.96%印度7.22

17、%美國5.76%印尼5.26%泰國4.74%越南4.43%委內瑞拉3.31%中國臺灣3.07%馬來西亞2.86%烏克蘭2.57%巴西1.51%德國1.20%哈薩克斯坦1.04%其他國家18.80%2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第11頁 111.*.*.51 廣東 384548560 58.*.*.106 湖北 378751989 182.*.*1.11 廣東 373948017 120.*.*.57 廣東 370649924 8.*.*.43 中國 345367736 120.*.*.58 廣東 338583049 47.*.*.18 廣東 32355

18、6945 58.*.*.98 北京 316176652 49.*.*.135 北京 309107681 113.*.*.157 湖北 303368231 2 2.20212021 年第四季度年第四季度礦礦池池服務服務IP分析分析 2021 年第四季度，CNCERT 監測發現約 585 萬個礦池服務 IP。其中活躍礦池服務 IP 數量按月分布如下圖所示： 圖：礦池服務 IP 數量按月分布 585 萬個礦池服務 IP 中，26.10%為境內 IP。 29808312400423259111505000001000000150000020000002500000300000035000002021年

19、10月2021年11月2021年12月2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第12頁 圖：礦池 IP 境內外分布 境內礦池以廣東、 北京、 江蘇的服務 IP 較多， 分別占 17.40%、 17.33%、 9.93%。 圖：境內礦池 IP 按省份分布 此外，電信、聯通等運營商的境內礦池 IP 較多。其中 IP 地址運營商為電信的境內礦池 IP 約有 74 萬個，占 2021 年第四季度所有礦池服務 IP 的 48.67%，其次為聯通和阿里云，約有 26 萬個和 17 萬個，分別占 17.07%、11.25%。 境外71.00%境內26%未知3%廣東14.74%

20、北京9.74%江蘇8.79%浙江7.97%未知6.33%上海5.62%山東5.03%四川4.79%河南3.12%福建3.08%遼寧2.83%河北2.77%安徽2.72%江西2.53%湖北2.34%湖南2.17%重慶1.86%陜西1.84%黑龍江1.35%內蒙古1.27%廣西1.21%天津1.14%云南1.14%吉林1.08%貴州1.07%山西1.02%新疆0.74%甘肅0.67%海南0.43%寧夏0.35%青海0.18%西藏0.09%2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第13頁 圖：境內礦池 IP 所屬運營商分布 在 71%的境外礦池服務 IP 中，美國的礦

21、池 IP 數量最多，共監測發現約 130萬個 IP，占本季度所有活躍礦池 IP 數量的 31.26%、其次為法國和日本，IP 數量是 194817 個、193995 個，分別占本季度礦池 IP 總數的 4.69%、4.67%。 7432202606871718031650981862020100000200000300000400000500000600000700000800000電信聯通阿里云移動其他2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第14頁 圖：境外礦池服務 IP 按國家和地區分布 值得關注的是，部分礦池 IP 非?；钴S，有較多的挖礦主機 IP 與其

22、進行通信連接，下表為活躍礦池的相關列表。 表：活躍礦池 IP Top20 IP 地理位置地理位置 通聯次數通聯次數 歷史解析域名歷史解析域名 138.68.44.84 美國 1568961 157.245.77.105 美國 1562371 repomaa.3cx.fi 96.126.117.129 美國 1560309 31.26%4.69%4.67%4.49%4.36%4.19%3.85%3.47%3.08%2.34%2.30%2.21%1.76%1.73%1.73%1.29%1.22%1.02%1.01%19.30%美國法國日本德國俄羅斯韓國加拿大巴西中國香港中國臺灣英國南非

23、印尼印度荷蘭新加坡意大利澳大利亞羅馬尼亞其他國家2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第15頁 194.195.223.249 德國 1183541 139.177.196.162 美國 1180841 139.59.109.18 新加坡 1116214 139.59.182.191 英國 923187 159.89.161.1 印度 922308 159.203.63.223 加拿大 724273 109.74.196.239 英國 713608 134.209.40.198 美國 7077

24、98 199.247.27.41 荷蘭- 464821 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第16頁 178.128.242.134 荷蘭- 452515 randomx- 203.107.32.162 中國 409164 backup- vip- eth- vip- backup- btcchenzhuang- btcksy- 50.116.34.212 美國 332654 106.54.138.202 中國 280037 other.xmrpool.ru 47.241.198.198 美國 256

25、814 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第17頁 rvn- 47.241.208.216 美國 247972 rvn- 39.107.236.106 中國 230999 cn- cn- cn- cn- 39.102.48.53 中國 227140 cn- cn- cn- 三、流行挖礦威脅淺析三、流行挖礦威脅淺析 通常，攻擊者是出于經濟動機才進行挖礦惡意活動，因為挖礦是一項非常有利可圖的業務，與勒索軟件網絡犯罪業務相比，惡意挖礦業務的攻擊成本更低，且易于實施，收益直接可見，單靠個人就能完成整個攻擊流程，這也是惡意挖礦業務受到廣大攻擊者青睞的

26、原因之一。 下面介紹一些常見的黑產挖礦團伙和流行挖礦木馬家族。 1. 挖礦挖礦團團伙伙 TeamTNT組織組織 TeamTNT 是一個針對云環境的德語加密劫持黑客組織， 自 2020 年 4 月以來一直處于活躍狀態。該組織不斷對其挖礦木馬進行迭代升級，主要的攻擊目標是 Kubernetes 和 Docker。TeamTNT 攻擊目標環境也隨著該組織的技術迭代而拓2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第18頁 寬， 目前該組織的惡意活動已經能夠針對 AWS、 Docker、 GCP、 Linux、 Kubernetes 和 Windows 平臺，覆蓋幾乎各類環境

27、了。 TeamTNT 組織使用的部分導入工具包括：Masscan 和端口掃描程序，以搜索新的感染目標； 用于直接從內存中執行 bot 的 libprocesshider； 適用于多種 Web操作系統的開源工具 Lazagne，可用于從眾多應用程序中收集存儲的憑據。 2021 年 5 月，研究人員發現 TeamTNT 黑客組織以 Kubernetes 集群為目標，攻擊了近 50000 個 IP，且大部分 IP 來自中國和美國。 自 2021 年 7 月 25 日以來，TeamTNT 組織運行了一項針對多個操作系統和應用程序的新活動“Chimaera”，該組織使用新的開源工具從受感染的機器上竊取用

28、戶名和密碼?；顒又惺褂枚鄠€ shell 批處理腳本、新的開源工具、加密貨幣礦工、TeamTNT IRC bot 等，在全球范圍內引起了數千起感染。 TeamTNT 主要使用掃描器來尋找攻擊目標，在鎖定攻擊目標后，選取payload 投遞，入侵成功后部署挖礦和橫向攻擊工具，整體流程見下圖： 圖：TeamTNT 組織攻擊流程 H2 2Miner組織組織 H2Miner 挖礦組織自 2019 年開始活躍，攻擊目標包括 Windows 和 Linux 服務器。該組織掌握了眾多漏洞武器，擅長利用這些漏洞向受害機傳播惡意腳本，進而部署挖礦木馬，同時部署掃描器向外擴散。 2021 年惡意挖礦威脅趨勢分析報告

29、 CNCERT 與安恒信息聯合發布 第19頁 H2Miner 組織掌握的漏洞主要是 RCE 漏洞，包括： Supervisor 遠程代碼執行漏洞（CVE-2017-11610） Hadoop Yarn REST API 未授權遠程代碼執行漏洞（CVE-2017-15718） ThinkPHP 遠程代碼執行漏洞（CVE-2018-20062） 任意 PHP 執行漏洞（CVE-2017-9841） Solr dataimport 遠程代碼執行漏洞（CVE-2019-0193） Citrix ADC 和 Citrix Gateway 遠程代碼執行漏洞（CVE-2019-19781） Confluen

30、ce 未授權遠程代碼執行漏洞（CVE-2019-3396） SaltSTack 遠程代碼執行漏洞（CVE-2020-11651(2)） WordPress 文件管理器遠程代碼執行漏洞（CVE-2020-25213） Confluence 服務器網絡 OGNL 注入漏洞（CVE-2021-26084） Weblogic 未授權遠程代碼執行漏洞（CVE-2020-14882/14883） 2020 年 2 月，H2Miner 第一次被研究人員披露，此時 H2Miner 的攻擊目標主要為 Redis 服務器。攻擊者利用 Redis 的遠程代碼執行漏洞和弱口令入侵服務器，修改服務器設置，并下載名為 k

31、insing 的挖礦木馬。 2020 年 11 月，研究人員捕獲到 H2Miner 針對 Windows 平臺攻擊的變種挖礦木馬。攻擊者向主機發送一個構造好的數據包，觸發漏洞后，主機會請求并解析執行遠程服務器的 xml 文件。并在下載執行分發的惡意 powershell 腳本后，實現 Windows 平臺的挖礦。 H2Miner 針對這兩個平臺的攻擊流程在這之后沒有出現大規模更新， 整體流程見下圖： 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第20頁 圖：H2Miner 攻擊流程 8220 挖礦團伙 8220挖礦團伙疑似來自國內， 自2017年起開始活躍， 攻擊目

32、標包括Windows以及 Linux 服務器，該團伙早期會利用 Docker 鏡像傳播挖礦木馬，后來又使用多種漏洞進行攻擊，進而部署挖礦木馬。研究人員后來在 2020 年發現其開始通過 SSH 爆破進行橫向攻擊傳播。 該團伙利用的漏洞包括： Confluence 遠程代碼執行漏洞（CVE-2019-3396） Weblogic 反序列化漏洞（CVE-2017-10271、CVE-2019-2725） WebLogic XMLDecoder 反序列化漏洞 Drupal 的遠程任意代碼執行漏洞 JBosss 反序列化命令執行漏洞 Couchdb 的組合漏洞 Redis 未授權訪問漏洞 Active

33、MQ 未授權訪問漏洞 Hadoop 未授權訪問漏洞 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第21頁 2018 年 8 月， 研究人員首次發現 8220 團伙的攻擊活動， 攻擊者利用 Hadoop Yarn 資源管理系統 REST API 未授權漏洞入侵服務器，部署了 Linux 挖礦木馬。 2021 年 5 月，研究人員發現了 8220 團伙使用自定義挖礦程序“PwnRig”和Tsunami IRC Bot 進行的惡意活動。PwnRig 是一個基于 XMRig 的自定義挖礦工具變體，試圖隱藏其配置詳細信息，并利用一個代理來防止公眾監視其池詳細信息。攻擊者在受感

34、染主機上配置挖礦環境，下載并執行正確版本的 PwnRig 礦工和 Tsunami IRC 機器人，獲得持久性，并嘗試橫向移動。 該團伙首先利用 CVE-2019-7238 等遠程代碼執行漏洞入侵目標服務器，然后下載核心 Shell 程序并執行。Shell 程序在前期準備中會執行關閉防火墻、結束其它挖礦進程、卸載安全軟件等操作。然后執行橫向移動模塊，該模塊會利用SSH 爆破等手段入侵其它內網主機，然后從遠程服務器下載 Python 腳本執行挖礦和僵尸網絡等操作。 圖：8220 挖礦團伙攻擊流程圖 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第22頁 匿影挖礦團伙匿影挖

35、礦團伙 匿影挖礦團伙于 2019 年 2 月被發現，該團伙利用大量功能網盤和圖床存放病毒模塊和隱藏自身，而且利用“永恒之藍”漏洞在企業內網進行橫向傳播，以在多個終端上執行挖礦作業。該團伙現已添加勒索軟件攻擊組件，研究人員發現其多次使用拼音首字母縮寫，其勒索信中存在明顯語法問題，推測該團伙為國內黑產組織。 該組織首先利用永恒之藍漏洞入侵目標服務器， 然后分別創建任務計劃執行不同操作。 任務計劃程序會通過執行 Powershell 腳本， 從公共圖床下載加密載荷。然后分別執行挖礦、竊密和勒索操作。最后通過漏洞掃描程序以同樣的方式感染其余內網用戶。 圖：匿影挖礦團伙攻擊流程圖 2. 挖礦木馬挖礦木馬

36、家族家族 Crackonosh “ Crackonosh ”是一種新型挖礦惡意軟件，通過非法下載版本的流行游戲進行傳播，如俠盜獵車手 V、NBA 2K19 等。惡意軟件隱藏在游戲代碼中，一旦下載游戲，惡意軟件就會在后臺秘密運行加密貨幣挖礦程序?！癈rackonosh”在捷克民間傳說中是“山神”的意思，因此研究人員推測惡意軟件背后的黑客可能2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第23頁 是捷克人。Crackonosh 已感染 22.2 萬臺計算機，黑客已通過該軟件獲利 200 萬美元。 Crackonosh 通過流行游戲軟件的非法破解副本傳播， 安裝后， 惡意轉

37、件會搜索并禁用流行的防病毒程序，卸載所有安全軟件并禁用 Windows 更新。Crackonos 在后臺運行的加密貨幣挖掘程序會在受害者不知情的情況下減慢他們的計算機速度，受害者的計算機會由于過度使用而磨損組件，同時受害者的電費也會增加。 Lemon Duck 小黃鴨（LemonDuck）背后的攻擊者為具有一定專業能力的境外黑產組織，曾發起或參與過大規模的網絡攻擊活動 （如構建僵尸網絡等） 。 如今， Lemon Duck已發展成針對全球多個系統終端設備的有組織、有計劃的、以挖礦為目的威脅組織。被其感染的受害者遍及全球，主要集中在亞洲地區，包括中國、新加坡、菲律賓等。 LemonDuck 最初

38、是由針對“驅動人生”發起的供應鏈攻擊演變而來的，攻擊者利用“驅動人生”作為跳板，使蠕蟲盡可能廣泛地傳播。Lemon Duck 在短時間內快速迭代更新，一直在積極更新新的漏洞利用和混淆技巧，它還通過其無文件礦工來逃避檢測，現在已成為技術最高明的挖礦軟件之一。 自 2020 年 8 月起，Lemon Duck 的感染傳播速度瘋狂增長，這可能得以與它使用了幾乎所有可用媒介進行傳播，例如熱門主題釣魚電子郵件、漏洞利用、無文件 powershell 模塊和暴力破解等。 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第24頁 圖：安恒信息捕獲到的 Lemon Duck 惡意挖礦攻

39、擊行為 Lemon Duck 感染目標除了 Windows 平臺之外， 還包括運行嵌入式 Windows 7 系統的 IoT 設備、智能電視，智能掃描儀，工業 AGV 等，該組織還在近期新增了針對 Linux 設備的攻擊模塊。受到感染的機器中絕大部分來自于政府與企業。值得注意的是“小黃鴨（LemonDuck）”發動的攻擊中會上傳十分詳盡的系統環境信息， 這意味著為其篩選 “特定目標” 進行下一步定向攻擊做好了準備。 Sysrv-hello Sysrv-hello 僵尸網絡于 2020 年 12 月首次被國內安全研究人員發現， 由于具備木馬、后門、蠕蟲等多種惡意軟件的綜合攻擊能力，使用的漏洞攻擊

40、工具也較新，目前已具備一定規模大小的僵尸網絡，對政企機構危害較大。集合了木馬、后門、蠕蟲功能，旨在攻擊的 Windows 和 Linux 企業服務器，并通過自傳播式惡意軟件載荷進行門羅幣挖礦惡意活動。 Sysrv-hello 僵尸網絡使用的是帶有礦工和蠕蟲（傳播器）模塊的多組件體系結構，后來升級為使用單個二進制文件，能夠將挖礦惡意軟件自動傳播到其他設備。Sysrv-hello 的傳播器組件能夠主動掃描互聯網，尋找更易受攻擊的系統，利用其可遠程執行惡意代碼的漏洞， 將受害設備添加到 Monero 采礦機器人大軍中。 sysrvhello 是一種綜合性僵尸網絡，具有以下幾個特點： 2021 年惡意

41、挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第25頁 l 功能強大，集后門、木馬、蠕蟲等多種惡意軟件為一體。 l 具有多種傳播途徑，包括通過 JBoss 遠程命令執行、weblogic 遠程代碼執行、worldpress 暴力破解、thinkphp 遠程代碼執行、Redis 遠程代碼執行、Hadoop 未授權訪問漏洞、Laravel 遠程代碼執行等漏洞傳播。 l 跨平臺僵尸網絡，攻擊目標包括 Windows 和 Linux 操作系統。 Sysrv-hello 僵尸網絡的活動在 2021 年三月份激增之后，研究人員發現了被其使用的以下六種漏洞： Mongo Express RCE（C

42、VE-2019-10758） XML-RPC（CVE-2017-11610） Saltstack RCE（CVE-2020-16846） Drupal Ajax RCE（CVE-2018-7600） ThinkPHP RCE（無 CVE） XXL-JOB Unauth RCE（無 CVE） GuardMiner GuardMiner 是自 2019 年開始活躍的挖礦木馬，可以針對 Windows 平臺和Linux 平臺進行攻擊傳播。GuardMiner 木馬具有多種傳播手法，包括： CCTV 設備 RCE 漏洞 Redis 未授權訪問漏洞 Drupal 框架 CVE-2018-7600 漏洞

43、Hadoop 未授權訪問漏洞 Spring RCE 漏洞 CVE-2018-1273 Thinkphp V5 高危漏洞 WebLogic RCE 漏洞 CVE-2017-10271 SQL Server 弱口令爆破 Elasticsearch RCE 漏洞 CVE-2015-1427、CVE-2014-3120 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第26頁 2021 年 3 月，研究人員檢測到了 GuardMiner 挖礦木馬團伙的攻擊活動，該團伙新增利用 Elasticsearch 遠程代碼執行漏洞（CVE-2015-1427），針對云上主機發起攻擊，受害

44、主機已過數萬臺。 四、挖礦四、挖礦木馬木馬的的常見感染傳播方式常見感染傳播方式 這里將介紹挖礦木馬的常見感染傳播方式，如釣魚郵件傳播、非法網頁進行傳播、軟件捆綁下載傳播、僵尸網絡下發及漏洞傳播等手段。 1. 釣魚郵件傳播釣魚郵件傳播 攻擊者偽造郵件，通過郵件附件傳播惡意軟件，或者通過郵件中的惡意鏈接誘導用戶點擊下載惡意軟件，當用戶打開惡意軟件時，將導致系統被植入病毒，并執行腳本自動化橫向滲透網絡，部署挖礦程序進行作業獲利。 2. 通過非法網頁進行傳播通過非法網頁進行傳播 攻擊者通常會在色情網站和在線賭博等非法站點上內嵌網頁挖礦腳本， 由于這類站點打開后往往需要停留一段時間才出現界面，不會輕易引

45、起用戶的懷疑，這也是黑客選擇這些非法網站部署網頁挖礦的原因之一， 用戶一旦進入此類網站，JS 腳本就會自動執行，并占用大量的 CPU 資源以挖取門羅幣，致使電腦出現卡頓。 3. 軟件捆綁下載傳播軟件捆綁下載傳播 在一般情況下，激活工具、破解軟件、游戲外掛以及盜版游戲等來歷不明的下載站點是感染挖礦木馬的溫床。攻擊者通過捆綁下載方式植入惡意挖礦程序，當用戶下載執行激活工具、破解軟件、游戲外掛以及盜版游戲時，將執行惡意程序，在后臺進行挖礦惡意活動。這些站點通常有著很高的下載需求，大量用戶通過搜索引擎進入這些帶毒網站，并且可能將其分享到各大技術論壇，形成二次傳播的情況，造成廣泛的影響。 2021 年惡

46、意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第27頁 4. 通過僵尸網絡進行分發通過僵尸網絡進行分發 攻擊者會選擇組建一個規模龐大的挖礦僵尸網絡進行惡意活動， 并通過各種方式入侵目標設備，例如網頁掛馬、MySQL 數據庫弱口令爆破等方法傳播僵尸程序，這些僵尸程序一般內置蠕蟲模塊，使受害機器成為新的攻擊源，從而迅速傳播爆發，并通過多個主機組成僵尸網絡。攻擊者可以在控制端中通過僵尸網絡下發指令到受害主機，執行分發挖礦木馬等惡意操作。目前，這種構建僵尸網絡下發挖礦木馬的方法已成為挖礦黑產團伙的主要手段。 5. 通過通過漏洞傳播漏洞傳播 通常，企業可能會提供對外的網站服務，但其服務器操作

47、系統卻存在仍未修補的漏洞，給了攻擊者可乘之機。漏洞利用一直是挖礦木馬用作傳播感染的重要手段，其通過配備各種可利用的通用漏洞對目標網絡資產進行掃描，如果設備未及時修補漏洞，將很有可能導致入侵事件的發生。 在眾多類型的漏洞當中，最受挖礦木馬歡迎的是 Web 應用漏洞，因為其適用性廣，利用代碼編寫簡單，可快速配備到各種攻擊組件當中，例如最常見的Weblogic 反序列化漏洞和 redis 未授權訪問漏洞。另外，一些技術能力較強的僵尸網絡則會在其攻擊模塊中集成多個漏洞探測模塊，例如永恒之藍、weblogic、MySQL、ThinkPHP、redis、Confluence 等漏洞。 以下表格是 2021

48、 年常被挖礦木馬利用的漏洞列表。 表：2021 年常被挖礦木馬利用的漏洞列表 漏洞類型漏洞類型 漏洞編號漏洞編號 相關的惡意挖礦攻擊家族相關的惡意挖礦攻擊家族 EternalBlue（永恒之藍）系列漏洞 CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0148、ms17-010 MsraMiner，WannaMiner，CoinMiner、bulehero 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第28頁 Weblogic web 服務漏洞 MinerGuard WebLogic

49、Fusion 中間件遠程代碼執行漏洞 CVE-2019-2725 bulehero WebLogic XML Decoder 反序列化漏洞 CVE-2017-10271 RunMiner、MinerGuard、ibus Weblogic RCE 漏洞 CVE-2020-14882 LemonDuck、 z0Miner、kworkerds Weblogic 任意文件上傳漏洞 CVE-2018-2894 ibus Confluence RCE 漏洞 CVE-2021-26084 kerberods、z0Miner、iducker、h2miner、kwroksminer、8220Miner、mira

50、i、BillGates Confluence 未授權 RCE 漏洞 CVE-2019-3396 H2Miner ThinkPHP web 服務漏洞 bulehero、 MinerGuard、 ibus ThinkPHP 5 漏洞 CNVD-2018-24942 buleHero ThinkPHP 5.X RCE 漏洞 H2Miner、GuardMiner PHPUnit RCE 漏洞 CVE-2017-9841 H2Miner ElasticSearch RCE 漏洞 CVE-2015-1427 MinerGuard ElasticSearch 未授權訪問漏洞 CVE-2014-3120 Mi

51、nerGuard、CryptoSink Hadoop Yarn 未授權訪問漏洞 systemdMiner、8220Miner、MinerGuard Docker 未授權訪問漏洞等多個web 服務漏洞 8220Miner、TeamTNT Spring RCE 漏洞 CVE-2018-1273 MinerGuard java 反序列化漏洞 ibus Jenkins RCE 漏洞 CVE-2019-1003000 ImposterMiner redis 未授權訪問漏洞 ibus、 MinerGuard、 H2Miner SSH 免密登錄漏洞 SysupdataMiner Supervisord RC

52、E 漏洞 CVE-2017-11610 H2Miner Drupal 框架漏洞 CVE-2018-7600 MinerGuard 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第29頁 Struts2 RCE 漏洞 CVE-2017-5638 BuleHero Redis 4.x/5.x 主從同步命令執行漏洞 CNVD-2019-21763 H2Miner Windows 打印機遠程代碼執行漏洞 PrintNightmare CVE-2021-34527 紫狐 文件管理器插件中的文件上傳漏洞 CVE-2020-25213 H2miner Atlassian Jira

53、未授權模板注入漏洞 CVE-2019-11581 WatchBog Exim 郵件服務器 RCE 漏洞 CVE-2019-10149 WatchBog Apache Solr Deserialization RCE漏洞 CVE-2019-0192 WatchBog Windows 內核漏洞 BlueKeep CVE-2019-0708 WatchBog SaltStack RCE 漏洞 CVE-2020-11651、CVE-2020-11652 H2Miner 6. 利用軟件利用軟件供應鏈感染傳播供應鏈感染傳播 供應鏈感染可在短時間內獲得大量的計算機資源，而備受黑產青睞，例如近日發生的“惡意

54、NPM 軟件包攜帶挖礦惡意軟件”安全事件就證明了通過開源軟件包存儲庫進行軟件供應鏈攻擊的有效性， 事實上在這之前就發生過多起類似的安全事件， 例如 2021 年 6 月初研究人員就曾在 PyPI 軟件包倉庫中發現惡意挖礦程序。 7. 通過瀏覽器插件傳播通過瀏覽器插件傳播 攻擊者通過將惡意插件偽裝成正常的 Chrome 瀏覽器插件，上傳到插件商店供用戶使用，而該插件實則上被內置了惡意代碼，當用戶下載安裝后，將執行挖礦等惡意操作。例如之前就曾有一款超過 10 萬人下載的瀏覽器插件被發現存在惡意代碼，插件名為 Archive Poster，原本的功能是協助用戶在社交平臺湯不熱（Tumblr）上進行多

55、賬號協作，該惡意插件會劫持電腦資源去挖掘虛擬貨幣Monero， 背地里卻在未經用戶同意的情況下， 利用 Coinhive 軟件開始挖礦作業。 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第30頁 谷歌瀏覽器 Chrome 具備豐富的插件功能，有來自世界各地開發者提供的豐富的擴展程序或應用，極大地方便了用戶的使用，但由于瀏覽器插件的安全性一直沒有引起重視，導致濫用瀏覽器插件進行惡意活動的安全事件仍在不斷發生。 8. 容器鏡像容器鏡像污染污染 隨著云原生容器的應用越來越流行，黑產團伙也將目光瞄向了這個領域。在云容器當中，最為著名的是 Docker Hub 公共容器鏡像倉

56、庫，黑產團伙并沒有放過這個機會，他們利用 Docker Hub 上傳惡意挖礦鏡像，污染容器鏡像，當用戶下載執行鏡像時，將導致其 docker 主機被感染，攻擊者還會通過容器服務器的漏洞傳播蠕蟲病毒，以盡可能地感染更多的 docker 主機，并執行挖礦程序進行牟利。 由于攻擊者可以制造多個惡意鏡像擴大污染源， 導致實際上的感染和影響范圍比預想的還要廣泛，例如專門針對云容器的 TNTteam 黑產挖礦團伙就經常使用這種方法作為其感染手段。 這種容器鏡像污染的攻擊方式所造成的下載傳播量通常能達數十萬，甚至數百萬以上，給云原生環境造成嚴重的污染。 9. 利用利用移動存儲介質移動存儲介質傳播傳播 在20

57、15年就出現了通過USB設備和其他可移動媒體傳播挖礦程序的攻擊案例， 例如著名的 Lemon Duck 挖礦團伙就曾利用 CVE-2017-8464 快捷方式漏洞作為感染傳播的途徑。通過將惡意的 Windows*.lnk 快捷方式文件和惡意 DLL 文件一起植入文件夾中， 當使用解析.lnk 快捷方式文件打開驅動器時， 快捷方式將執行惡意的 DLL 組件，從而觸發 CVE-2017-8464LNK 遠程執行代碼漏洞，導致可移動 USB 驅動器和網絡驅動器被感染。 在用戶不知道移動介質已被感染的情況下， 很可能會將受感染的設備攜帶到其他不聯網的環境中， 導致原本安全的環境被病毒滲透， 從而擴大內

58、部感染范圍，并影響工作環境的正常運作。 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第31頁 五、惡意挖礦五、惡意挖礦趨勢趨勢解析解析 1. 虛擬貨幣價格激增虛擬貨幣價格激增，通過各種手段提高挖掘效率通過各種手段提高挖掘效率 攻擊者會嘗試使用各種技術以提高挖礦效率，例如研究人員發現的一個Golang 蠕蟲挖礦木馬就使用了一種新策略提升挖礦效率。 這個挖礦木馬通過特定型號的寄存器 （MSR） 驅動程序來禁用硬件預取器。硬件預取器是一種新的技術，處理器會根據內核過去的訪問行為來預取數據，處理器（CPU）通過使用硬件預取器，將指令從主內存存儲到二級緩存中。然而，在多核處理

59、器上，使用硬件預取會造成功能受損，并導致系統性能整體下降。XMRig 需要依賴機器的處理能力來挖掘 Monero 幣，禁用 MSR 能夠有效阻止系統性能下降，從而提升挖礦效率。 文中描述的這種挖礦方式雖然不會對設備造成損害， 但不排除攻擊者未來可能會為了提升挖礦效率而做出一些加速設備損耗的操作， 例如解除硬件性能限制，超頻使用等。 2. 黑吃黑，黑吃黑，黑產組織爭奪挖礦資源黑產組織爭奪挖礦資源 在惡意挖礦活動中， 可能會出現兩個挖礦家族相互爭奪受害計算機資源的情況，這種較量通常在 Linux 和云環境中進行，挖礦木馬會利用多種手法清理或阻止、干擾受害主機上其他家族的挖礦行為，從系統中刪除競爭對

60、手來獨享資源，常見手法有以下幾種： 1. 配置 IP 篩選器，阻止競爭對手向指定礦池 IP 地址發起 TCP 連接； 2. 刪除競爭對手的挖礦進程，并將該進程和其使用的 IP 添加到黑名單，禁止其進程運行或發起網絡連接； 3. 修復訪問權限漏洞，防止系統感染其他惡意軟件； 4. 刪除競爭對手添加的駐留手段，例如注冊表、啟動服務、計劃任務等。 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第32頁 其中，比較廣為人知的是 Pacha 和 Rocke 黑產組織的云上資源爭奪事件，這兩個組織所使用的技術、戰術、方法都極其相似，這種同行之間相互競爭的現象有助于提高操作員的技能

61、水平。Pacha 組織還特別關注識別和刪除 Rocke 的挖礦活動，以試圖清除對方，這兩個組織都是通過進行大規模掃描來尋找開放或未打補丁的 Linux 服務器和云端服務， 然后使用多功能惡意軟件感染目標設備。 Pacha還具有一個 IP 黑名單列表， 該名單中的 IP 是 Rocke 組織過去在挖礦活動中所使用的網域。當 Pacha 感染受害系統后，將自動移除 Rocke 挖礦程序，而且受感染系統無法再連接黑名單中的網域。 雖然 Rocke 組織也使用從受感染的服務器上清除競爭對手的手法，但與 Pacha 組織相比，規模相對較小。 這種黑吃黑爭奪設備資源的情況在物聯網上也經常發生， 因為設備資

62、源數量是有限的，也經常會發生多個挖礦家族感染同一臺設備的情況，這種時候只有技術高明的一方才能存活下來，因為你不清除對方，就會被對方清除，這種同行競爭的情況也逐漸成為了一種趨勢。 3. 利用工業控制系統進行挖礦利用工業控制系統進行挖礦 隨著時間流逝， 挖礦活動所產出虛擬貨幣越來越少， 對算力的需求越來越大，一些攻擊者已經不滿足選擇諸如 PC 或移動設備作為其挖礦工具，而是將目光瞄向了具有高性能、高處理能力的基礎設施。工業控制系統的內部網絡還可能存在過時或未打補丁的軟件， 因為部署新的操作系統和更新可能會無意中破壞關鍵的傳統平臺，所以系統可能仍停留在舊版本當中。 在 2017 年起，研究人員就發現

63、針對工業控制系統的挖礦攻擊有所上升，這類攻擊會對工業企業的計算機造成大量負載， 由此對企業 ICS 組件的運行產生負面影響并威脅其穩定性，從而構成更大的威脅。而在 2018 年的另一個工業系統進行惡意挖礦的事件中， 犯罪分子還在歐洲自來水公司控制系統中進行加密劫持挖礦，該活動降低了自來水公司管理公共設施的能力。攻擊者還使用了檢測和禁2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第33頁 用標記自身的安全防御工具操作，這相當于被其他類型的網絡威脅開啟了大門，導致原本就感染挖礦程序的系統更加脆弱。 對于從事惡意挖礦活動的攻擊者而言，工廠是一個誘人的目標，由于許多基線操作不

64、會使用大量處理能力，但會消耗大量電力，這使得挖掘惡意軟件能夠相對容易地掩蓋其 CPU 和功耗，即使查到到系統異常，但排查控制系統上的網絡威脅也需要相當多的時間成本。另外，挖礦活動還增加系統處理器和網絡帶寬的使用，這可能會導致工業控制應用程序因系統過載而無響應、暫停甚至崩潰，導致工廠操作員降低或失去管理工廠的能力， 嚴重時甚至會破壞和影響業務及基礎設施的關鍵流程。 六、防范建議六、防范建議 無論是在本地系統還是通過瀏覽器被惡意挖礦， 一般事后都較難通過手動檢測找到入侵路徑，而且也很難快速排查出高 CPU 使用率的原因。因為惡意挖礦軟件可能會隱藏自身或偽裝成合法的進程，以避免被用戶刪除。當計算機以

65、最大性能模式運行時，系統速度將會非常慢，因此更難排除故障，所以預防惡意挖礦軟件的最好方法，是在成為受害者之前采取安全措施。 最常見的方法是在常用的瀏覽器中阻止 JavaScript 腳本運行。 雖然該功能可以有效阻止路過式網頁挖礦攻擊，但同樣也會阻止用戶使用瀏覽器插件功能，另外一種方法是安裝專門用于防范瀏覽器挖礦的拓展程序，例如“No Coin”和“MinerBlock”，兩者都有適用于 Chrome、Firefox 和 Opera 的擴展程序。 另一種防范本地系統感染惡意挖礦的方法與常規惡意軟件基本相同： 1. 提高個人安全意識，從正常的應用市場和渠道下載安裝應用程序，不輕易安裝來歷不明的第

66、三方軟件，或隨意點擊和訪問一些具有誘導性質的不良網頁； 2. 安裝終端安全防護并定時進行全盤查殺； 2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第34頁 3. 及時修復系統漏洞，更新系統版本、軟件版本和應用版本。 七、總結七、總結 惡意挖礦產業背后的攻擊者一直在積極提高技能水平， 并不斷更新其攻擊手法，并開始針對各種平臺的硬件設備，其功能迭代及漏洞配備速度將更加迅速。 隨著數字化技術的不斷發展， 網絡威脅對于大眾的影響越來越與現實緊密相連，雖然惡意挖礦活動所造成的破壞性遠低于勒索軟件等惡意軟件，但是其造成的廣泛影響和感染數量遠超于其他惡意軟件，是一種不容小覷的網絡威

67、脅。 關于關于CNCERT 國家計算機網絡應急技術處理協調中心（英文簡稱 CNCERT/CC），成立于2001 年 8 月，為非政府非盈利的網絡安全技術中心，是中國計算機網絡應急處理體系中的牽頭單位。作為國家級應急中心，CNCERT/CC 的主要職責是：按照“積極預防、及時發現、快速響應、力?；謴汀钡姆结?，開展互聯網網絡安全事件的預防、發現、預警和協調處置等工作，運行和管理國家信息安全漏洞共享平臺（CNVD），維護公共互聯網安全，保障關鍵信息基礎設施的安全運行。 聯系方式： 電子郵件： 電話：+8610 82990999，82991000（EN） 傳真：+8610 82990399 關于關于杭州安恒信息技術股份有限公司杭州安恒信息技術股份有限公司 安恒信息成立于 2007 年，于 2019 年登陸科創板，是 2020 年信息技術產業最具成長上市公司。作為行業領導者，已形成覆蓋網絡信息安全全生命周期的產2021 年惡意挖礦威脅趨勢分析報告 CNCERT 與安恒信息聯合發布 第35頁 品體系，是國家級核心安保單位，參與了近乎全部國家重大活動網絡安保，實現零失誤。 網址： 客戶服務熱線：400 6059 110