一、靠山

云主机是企业数字化转型的主要基础设施，承载着主要的数据和服务价值，也逐渐成为了黑客的重点攻击工具。随着虚拟机、云主机、容器等手艺的普遍应用，传统平安界限逐渐模糊，网络环境中的主机资产盲点成倍增添，黑客入侵、数据泄露、病毒木马攻击风险随之增添。

与此同时，各种数字加密钱币价钱迎来暴涨，2020年头至今，比特币价钱一度跨越了4万美元/BTC，是2019年底的10倍之多，达到了历史最高点，比特币一度摘取2020年度最佳持有资产的头衔。受比特币暴涨影响，各种数字虚拟币市值均有大幅增进，在云云大利益诱惑之下，通过流传挖矿木马来获取数字加密钱币（以挖取门罗币最为普遍）的黑产团伙闻风而逃，纷纷加入对主机盘算资源的争取之战。

比特币价钱曲线（数据泉源：coinmarketcap.com）

凭据腾讯平安威胁情报中心态势感知系统提供的数据，近期针对云主机的挖矿木马出现成倍增进趋势。由于部门主机未对系统举行合理的接见计谋控制、平安风险检查，导致其存在较多的弱口令、未授权接见、远程代码执行破绽等平安缺陷，黑客团伙行使这些缺陷大规模入侵服务器并植入挖矿木马，再行使被控主机系统的盘算资源挖矿数字加密钱币赢利。

二、威胁情报数据

腾讯平安态势感知数据显示，近期与挖矿相关的恶意样本检出、IP、Domain广度热度，探测到的挖矿威胁数目均有差别水平的上升。

1.腾讯平安智能AI引擎检测到的挖矿木马样本量呈显著上涨。

2.腾讯平安态势感知系统检测到挖矿团伙控制的IP、Domain广度也呈上涨趋势。

3. 腾讯平安智能剖析系统部署的探针检测到云上挖矿威胁数目也有较大水平上涨。

三、近期典型挖矿事宜

3.1 挖矿事宜应急处置

腾讯平安工程师会对捕获到的有一定影响力的平安事宜举行应急处置，对腾讯平安全系列产物举行平安计谋升级，以笼罩最新的威胁防御、威胁检测和威胁清算能力；其中影响局限较大的病毒变种或新病毒家族会对外公布详细的病毒剖析讲述，给出详细的防御和清算建议，向宽大用户和平安偕行举行通告和预警。

凭据腾讯平安威胁情报中心运营数据，从2020/12/9至2021/1/9间的一个月时间内，上述需要人工介入应急处置的挖矿相关事宜从平均逐日2例增进到了逐日5例，有较大增进。

3.2 老挖矿家族加倍活跃

在处置平安事宜过程中我们发现，老牌挖矿木马团伙H2Miner、SystemdMiner异常活跃，而且这些家族划分针对云主机的系统和应用部署特征开发了新的攻击代码：2020年12月22日，H2Miner挖矿木马家族行使Postgres远程代码执行破绽CVE-2019-9193攻击流传，2020年12月28日又发现H2Miner挖矿木马家族行使XXL-JOB未授权下令执行破绽对云主机提议攻击。（参考链接：https://mp.weixin.qq.com/s/koxWEnlBDAfgh18hDl8RhQ）

2020年12月，我们还发现SystemdMiner挖矿木马家族行使Postgres远程代码执行破绽CVE-2019-9193举行攻击流传。（参考链接：https://mp.weixin.qq.com/s/kkCm0eg1xshxgowHpabRFA）

2020年10月，WatchBogMiner挖矿木马变种行使Apache Flink随便Jar包上传导致远程代码执行破绽入侵云主机。（参考链接：https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg）

2020年10月，8220挖矿团伙行使Nexus Repository Manager 3远程代码执行破绽CVE-2019-7238、Confluence远程代码执行破绽CVE-2019-3396攻击流传。（参考链接：https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA）

3.3 新挖矿家族层出不穷

自2020年11月以来，仅腾讯平安威胁情报中心新发现的熏染量跨越5000的挖矿木马家族就已跨越5个，对应家族的命名、主要入侵方式、估量熏染量如下：

,

Allbet官网

欢迎进入Allbet官网（Allbet Game）：www.aLLbetgame.us，欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

SuperManMiner https://mp.weixin.qq.com/s/jl_mSggGf_5NcF_pr55gLw

TOPMiner https://mp.weixin.qq.com/s/9U1V0dkL0AUIPYZWmNSjpA

RunMiner https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ

4SHMiner https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWw

z0Miner https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg

MrbMiner https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 

其中，于2020.11.02日发现挖矿木马团伙z0Miner行使Weblogic未授权下令执行破绽（CVE-2020-14882/14883）举行攻击，本次攻击是在Weblogic官方公布平安通告（2020.10.21）之后的15天之内提议，挖矿木马团伙对于新破绽武器的接纳速率之快，由此可见一斑。

3.4 僵尸网络加入挖矿阵营

2020年11月，腾讯平安威胁情报中心检测到TeamTNT僵尸网络通过批量扫描公网上开放2375端口的云服务器，并实验行使Docker Remote API未授权接见破绽对云服务器举行攻击，随后植入挖矿木马。（参考链接：https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg）

2020年12月，腾讯平安威胁情报中心发现Prometei僵尸网络变种最先针对Linux系统举行攻击，通过SSH弱口令爆破上岸服务器，之后安装僵尸木马uplugplay控制云主机并凭据C2指令启动挖矿程序。Prometei僵尸网络于2020年7月被发现，初期主要以SMB、WMI弱口令爆破和SMB破绽（如永恒之蓝破绽）对Windows系统举行攻击流传。（参考链接：https://mp.weixin.qq.com/s/mAKsscAFLHQU_WrbsVbQng）

四、总结

“挖矿木马”最先大规模流行于2017年头，黑客通过网络入侵控制大量盘算机并植入矿机程序后，行使盘算机的CPU或GPU算力完成大量运算，从而获得数字加密钱币。2017年最先发作之后，挖矿木马逐渐成为网络世界主要的威胁之一。

服务器一旦被挖矿木马团伙攻占，正常营业服务的性能会受到严重影响，挖矿木马熏染，也意味着服务器权限被黑客争取，企业秘密信息可能泄露，攻击者也同时具备彻底损坏数据的可能性。

面临越来越严重的平安挑战，企业应该加大对主机平安的重视水平和建设力度。挖矿木马作为现在主机面临的最普遍威胁之一，是磨练企业平安防御机制、环境和手艺能力水平的试金石。若何有用应对此类平安威胁，并在此过程中促进企业网络平安能力提升，应当成为企业平安管理人员与网络平安厂商的配合目的。

五、平安防护建议

5.1 针对联网主机防护挖矿团伙入侵的一样平常建议

1. 对于Linux服务器SSH、Windows SQL Server等主机接见入口设置高强度的登录密码；

2. 对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增添授权验证，对接见工具举行控制。

3. 若是服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出平安破绽的服务器组件，应亲切关注响应组件官方网站和各大平安厂商公布的平安通告，凭据提醒实时修复相关破绽，将相关组件升级到最新版本。

5.2 失陷系统的排查及消灭

1、检查有无占用CPU资源靠近甚至跨越100%的历程，若有找到历程对应文件，确认是否属于挖矿木马，Kill 挖矿历程并删除文件；kill 偷换含下载恶意shell剧本代码执行的历程；

2、检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意剧本下载下令，有无挖矿木马启动下令，并将其删除；

3、若有发现挖矿相关历程、恶意程序，实时对服务器存在的系统破绽、弱口令、Web应用破绽举行排查和修复。

参考链接：

https://mp.weixin.qq.com/s/eVBy5qLmxTNnbwBTQLSz0A

https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html

https://www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/coinminer-ddos-bot-attack-docker-daemon-ports

ag区块链百家乐声明:该文看法仅代表作者自己，与www.allbetgame.us无关。转载请注明：usdt自动充值（www.caibao.it）：木马围城：比特币爆涨刺激挖矿木马一拥而上哄抢肉鸡资源