挖矿木马简介

• 挖矿（Mining），早期与比特币有关，用户使用个人计算机下载软件，然后运行特定的算法，与远方服务器通信后得到相应比特币，挖矿就是利用比特币挖矿赚取比特币

• 由于挖矿成本过于高昂，一些不法分子通过各种手段将矿机程序植入受害者的计算机中，利用受害者计算机的运算力进行挖矿，从而获取非法收益。这类非法侵入用户计算机的矿机程序被称作挖矿木马

• 挖矿木马进行超频运算时占用大量CPU资源，导致计算机上其他应用无法正常运行。不法分子为了使用更多算力资源，一般会对全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点，在成功入侵一台主机后，尝试对内网其他机器进行蠕虫式的横向渗透，并在被入侵的机器上持久化驻留，长期利用机器挖矿获利。

常见挖矿木马

Mykings（隐匿者）

• MyKings 是一个长期存在的僵尸网络， 自从 2016 年开始便一直处于活跃状态。它在全世界大肆传播和扩张，以至于获得了多个名称 ，例如，MyKings、Smominru和DarkCloud。其庞大的基础设施由多个部件和模块组成，包括bootkit、 coin miners、droppers、clipboard stealers(剪贴板窃取器)等

• Mykings 主要利用“永恒之蓝”漏洞，针对 MsSQL、Telnet、RDP、CCTV等系统组件或设备进行密码暴力破解，暴力破解成功后，利用扫描攻击进行蠕虫式传播。Mykings不仅局限于挖矿获利，还与其他黑产家族合作完成锁首页，DDoS 攻击等

8220Miner

• 8220Miner 被披露于 2018年 8月，因固定使用 8220 端口而被命名。

• 8220Miner 利用多个漏洞进行攻击和部署挖矿程序，是一个长期活跃的组织，也是最早使用 Hadoop Yarn 未授权访问漏洞攻击的挖矿木马，除此之外，还是用了多种其他的Web 服务漏洞。8220 Miner 没有采用蠕虫式的传播，而是使用固定一组 IP 地址进行全网攻击，为了持久化驻留，使用了 rootkit 技术进行自我隐藏。

WannaMine

• WannaMine采用“无文件”攻击组成挖矿僵尸网络，最早在2017年底被发现，攻击时执行远程Powershell代码，全程无文件落地。为了隐藏其恶意行为，WannaMine还会通过WMI类属性存储shellcode, 并使用“永恒之蓝”漏洞攻击武器以及“Mimikatz+WMIExec”攻击组件进行横向渗透。

• 2018年6月，WannaMine 增加了 DDoS 模块，改变了以往的代码风格和攻击手法。2019年4月，WannaMine 舍弃了原有的隐匿策略，启用新的 C2 地址存放恶意代码，采用Powershell 内存注入执行挖矿程序和释放PE木马挖矿的方法进行挖矿，增大了挖矿程序执行的概率。

传播方式

• 利用漏洞传播

• 通过弱口令爆破传播

• 通过僵尸网络传播

• 采用无文件攻击方法传播

• 利用网页挂马传播

• 利用软件供应链攻击传播

• 利用社交软件、邮件传播

• 内部人员私自安装和运行挖矿程序

处置方法

1、隔离被感染的服务器或主机

2、确认挖矿进程

3、清除挖矿木马

    • 阻断矿池地址连接

    • 清除挖矿定时任务、启动项等

    • 定位挖矿木马文件的位置，并清除

清除木马

• 从内网DNS服务器、DNS防火墙、流量审计设备等设备获取恶意域名信息，根据域名查询威胁情报确定木马类型。

• 查看系统CPU、内存、网络占用情况，获取异常进程相关信息

• 根据进程名或部分字符串获取进程号或进程相关的命令行命令

• 根据进程号查看由进程运行的线程

• 结束挖矿进程及其守护进程

• 通过挖矿进程的相关信息，定位到文件的具体位置，删除恶意文件

• 查看启动项，如果发现非法开机自启服务项，停止并删除对应数据

• 查看定时任务

• 溯源挖矿木马入侵途径，查找系统漏洞，打上对应补丁，完成漏洞修复，防止再次入侵

防护建议

• 规范上网行为，不安装来历不明的软件、工具

• 不打开来历不明的文档，以及带有图片、文件夹、文档、音视频等图标的文件

• 进行严格的隔离，有关系统、服务尽量不要开放到互联网，在内网中的系统也要通过防火墙、VLAN或网闸等进行隔离。对于系统要采取最小化服务的原则，只提供必要的服务无关的服务必须要关闭，同时采用本机防火墙进行访问要进行访问控制

• 及时安装系统补丁，修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞

• 加强密码策略，增加密码复杂度并进行定期修改，开启相关登录失败处理功能

• 服务器定期维护

常用工具

• ProcessExplorer：能管理隐藏的程序，可监视、挂起、重启、终止程序

• PCHunter：功能强大的系统信息查看软件，PCHunter使用了windows 内核技术

模拟攻击（kali—>kali）

1、在攻击机上准备好挖矿木马

使用unzip解压

解压

解压成功

再次解压

木马准备成功

2、上传木马

 假如通过爆破得到对方主机的SSH密码，通过SSH上传挖矿木马 kinsinga.sh

sftp root@靶机ip

连接成功后，上传木马：put kinsinga.sh /tmp/kinsinga.sh

上传木马

3、执行挖矿木马

ssh root@靶机ip              // 登录

chmod +x kinsinga.sh    // 赋予权限

./kinsinga.sh                     // 执行木马

执行木马

查看进程

ps -ef | grep kin*

查看进程

4、查看靶机CPU情况

top

查看靶机CPU情况

应急响应——事件处理

1、查看系统负载，查看CPU情况

命令：top

发现cpu占用率97%，其中占用率最高的是kdevtmpfsi进程，pid为2009

CPU情况

2、查看网络连接情况，发现恶意进程

netstat -anptl

发现异常连接，存在可疑ip地址： 91.215.169.111 、 45.89.230.240

3、威胁情报平台上查看可以IP地址的情况

微步在线： https://x.threatbook.cn/

微步情报显示恶意软件、傀儡机、私有矿池等信息

4、通过进程号查看程序执行路径

pstree –p ：显示进程树

systemctl status 2009 ：查看进程号 2009 状态

ls -l /proc/2009/cwd 

ls -l /proc/1993/cwd

发现 2009 进程对应执行文件路径：

/tmp/kdevtmpfsi

发现 1993 进程对应执行文件路径：

/tmp/kinsing.sh

5、查看计划任务

crontab –l

查看计划任务

进入计划任务目录查看是否存在隐藏的计划任务

cd /var/spool/cron/crontabs/

cat -A root

6、日志分析

查看是否具有ssh爆破的行为

last -f /var/log/wtmp | less

last -f /var/log/btmp | less

日志分析

应急响应——事件抑制

定位挖矿木马并查杀

• 杀掉进程： kill 2009 、 kill 1993

• 杀掉这两个进程之后，但是过了几分钟，cpu又爆满，发现挖矿程序再次运行

• 因为该木马还添加了计划任务，需要先删除计划任务，再杀掉恶意进程，最后删除挖矿木马程序

删除计划任务： 

crontab -u root –r

杀掉进程：

kill 3805 

kill 3829

删除挖矿木马：

rm kdevtmpfsi 

rm kinsinga.sh

查看 CPU 占用情况

终端安装杀毒软件

使用流量监控设备进行内网流量监控

出口防火墙封堵挖矿地址和IP

清除挖矿木马：

    1、阻断矿池地址的连接

    2、清除挖矿定时任务、启动项等

    3、定位挖矿木马文件位置并删除

应急响应——根除与恢复

加强密码管理

限制对外发的请求

限制对外开放的端口

配置日志相关系统

增加流量监控

增强安全审计工作

增加日常安全检测