基于網絡流量的挖礦木馬團伙態勢特征研究

吳海燕?胡金坤?陳亞亮

摘要：本文就挖礦木馬的入侵方式、傳播途徑、行為特征、危害、挖礦流量特征等方面進行了研究，并跟蹤分析了在上海地區活躍的挖礦木馬團伙。同時，本文還基于網絡流量進行特征分析，最后提出了有效的防護建議，以維護網絡信息系統安全。挖礦木馬已經給大量受害人造成了經濟損失，同時也威脅著網絡的安全，妨害國民經濟和社會發展。因此，我們需要對挖礦木馬進行深入了解和研究，以便更好地應對挖礦木馬的威脅。

關鍵詞：挖礦木馬；區塊鏈

特征分析自2009年比特幣誕生以來，其經濟價值和影響力不斷擴大，各種類型和用途的虛擬貨幣相繼涌現，如以太坊、門羅幣、萊特幣、樹圖幣等。這些虛擬貨幣不是由特定的貨幣發行機構發行的，而是使用密碼學原理產生和交易。通過消耗計算或存儲資源執行工作或采用其他類似算法獲得虛擬貨幣的過程被稱為“挖礦”，該名稱源自對采礦的比喻，進行“挖礦”工作的人通常稱為“礦工”。由于主動挖礦成本高昂，一些不法分子采用網絡攻擊手段，將挖礦程序植入被控制的主機，利用受害者主機的算力和資源進行挖礦。這種植入受害者主機的挖礦程序被稱為“挖礦木馬”。挖礦木馬通常會消耗大量硬件資源，導致感染主機運行變慢，影響正常業務運行。虛擬貨幣給黑灰產團伙提供了一個有效便捷的變現方式，挖礦木馬風險小、門檻低、收益高，黑產團伙持續對其升級，不斷集成新的攻擊手法和更加成熟的對抗手段。這不僅對受害者造成巨大的經濟損失，也嚴重地威脅到了網絡安全，妨害國民經濟和社會發展。

一、挖礦木馬

（一）種類類型

根據挖礦木馬運行環境主要可以分為兩種類型[1]。

①基于瀏覽器運行。該類型通常是將一段惡意 JavaScript 代碼嵌入到網頁中，在訪問該頁面的用戶機器上執行挖礦指令。這種類型的典型代表是 Coinhive，Coinhive 發布了可以嵌入網頁運行的門羅幣挖礦代碼，許多網站運營者將其作為替代廣告的牟利方式。高峰時期有3萬多個網站嵌入了Coinhive 挖礦代碼，每月約有1000萬受害者。隨著2019年Coinhive關閉，該類型挖礦流量急劇下降。

②基于主機運行。該類型通常是將惡意程序植入受害者主機中運行，通過設置計劃任務或修改注冊表項實現持久化，長期進行加密貨幣的挖礦作業。有部分挖礦木馬為了對抗檢測，采用內存馬技術，具有無文件、不落地、難檢測的特點。據統計，XMRig是2022 年全球最常檢測到的加密挖礦惡意軟件，四分之三的企業用戶受其影響。

（二）入侵方式[2]

①網頁掛馬。攻擊者通過在網頁內嵌入挖礦 JavaScript 腳本，使用戶在進入網頁后，腳本會自動執行。這種方式通常用于瀏覽器挖礦，同時也有些挖礦木馬存在，它們會誘導用戶下載到本地執行。

②網絡釣魚。攻擊者將木馬程序偽裝成正規軟件或熱門文件，并通過社交軟件或郵件發送給受害者。一旦受害者打開相關軟件或文件，就會激活木馬程序，從而使攻擊者獲得對受害者計算機的控制。

③口令爆破。攻擊者通過暴力破解的方法嘗試使用可能的密碼組合進行登錄，通常會針對SSH、RDP、Redis、MSSQL等服務進行口令爆破。當攻擊者成功登錄后，他們會嘗試獲取系統權限，并在受害者計算機上植入挖礦木馬并設置持久化，從而不斷進行挖礦活動并獲取收益。這種攻擊對于一些沒有采用嚴格的密碼策略以及多因素認證措施的系統特別危險。

④漏洞利用。攻擊者會利用系統或軟件應用程序中的漏洞來入侵目標系統。這些漏洞包括操作系統漏洞、應用服務漏洞或中間件漏洞等，攻擊者利用系統漏洞快速獲取相關服務器權限植入挖礦木馬，是目前最為普遍的傳播方式之一。

⑤供應鏈攻擊。攻擊者在合法軟件正常傳播和升級過程中，利用軟件供應商的各種疏忽或漏洞，對合法軟件進行劫持或篡改，從而繞過傳統安全產品檢查，進而植入挖礦木馬。

⑥利用僵尸網絡。對于攻擊者來說，利用已有的僵尸網絡傳播挖礦木馬是一種快捷的變現手段，此外攻擊者還可以利用僵尸網絡劫持剪切板，監控用戶復制粘貼的地址，將地址替換成攻擊者的地址，從而實現錢包地址的盜取。

（三）行為特征

挖礦木馬顯著的行為特征，首先是極大地占用了CPU和GPU資源。主要包括高CPU和GPU使用率、響應速度慢、系統崩潰或頻繁重新啟動、系統過熱、異常網絡活動等。其次是在網絡流量中，挖礦木馬通信過程采用專門的通信協議，具有一定的網絡通信特征。

1.主機側

挖礦木馬主機側的檢測主要依據是對應進程CPU使用率長時間居高不下，部分挖礦木馬采用多方式隱藏進程并具備多種持久化駐留方式。

①針對不具備隱藏進程功能的挖礦木馬檢測：Windows系統使用任務管理器查看；Linux系統使用命令top -c查看。

②針對具備隱藏進程功能的挖礦木馬檢測：Windows系統主機可使用 ProcessExplorer 、ProcessHacker、PcHunter等軟件查看系統所有進程及其進程關系，依據CPU使用率篩選可疑進程。然后再進一步在主機上排查該可疑進程的網絡連接，計算可疑進程對應文件Hash，通過公開的威脅情報平臺進行查詢，綜合判定結果。

2.網絡側

挖礦木馬感染主機和礦池的通信過程，最常使用的是Stratum協議。該協議內容為JSON數據格式，包含多個固定的特征字段。在檢測過程中，可使用抓包軟件如Wireshark等分析TCP通信內容。

礦池主要有公開礦池和私有礦池。礦池地址通常由域名+端口或IP地址+端口組成。域名中可能存在一些特殊字符串，如：Pool、Xmr、Mine等。在檢測過程中，可結合威脅情報和對應通信內容進行綜合判定。

（四）主要危害

近年來，原本用于DDoS攻擊或者發垃圾郵件等活動的僵尸網絡出現了一種新的變現方式：虛擬貨幣“挖礦”。攻擊者經常在被攻陷的主機植入挖礦木馬，挖礦木馬的主要危害包括：①對信息系統基礎設施資源消耗與運行風險的加重。挖礦木馬消耗信息系統基礎設施大量資源，使操作系統、服務和應用軟件運行緩慢。這可能導致正常服務崩潰，產生業務中斷、數據丟失和其他負面影響。②危害信息系統基礎設施使用壽命與運行性能。挖礦木馬迫使信息系統基礎設施處于長時間高負載運行狀態，這可能縮短其使用壽命并嚴重降低其運行性能。③浪費能源和增加碳排放量：挖礦木馬挖礦需要消耗大量電能，這會導致高額能源消耗。而現階段我國電能的主要來源是煤炭發電，因此，其挖礦操作對碳排放的污染有負面影響。④留置后門，衍生僵尸網絡。挖礦木馬經常具有添加SSH免密登錄后門、安裝RPC后門，接收遠程IRC服務器指令以及安裝Rootkit后門等惡意行為。這可能造成受害組織網絡淪為僵尸網絡。⑤作為攻擊跳板，攻擊其他目標。挖礦木馬支持攻擊者控制受害者服務器進行DDoS攻擊。攻擊者可以以該服務器為跳板攻擊其他計算機，并釋放勒索軟件索要贖金等。

二、挖礦網絡流量

（一）挖礦協議

挖礦機器與礦池之間的通信需要遵循特定的協議[3]。目前主流的挖礦協議是Stratum協議，較早之前還有GBT（Get BlockTemplate）協議和Getwork協議。

Stratum協議在2012年推出，是在Getwork協議的基礎上進行改進而來，解決了Getwork協議效率低下的問題。在Stratum協議中，挖礦機器與礦池之間采用TCP的形式傳輸數據，數據傳輸的過程基于JSON-RPC。礦機使用Stratum協議的總體工作流程如下：

1.礦機任務訂閱

礦機=〉礦池：Mining.Subscribe

礦池=〉礦機：Mining.Notify

2.礦機認證

礦機=〉礦池：Mining.Authorize

礦池=〉礦機：返回認證的結果，True 或者False

3.設置難度并通知礦機工作

礦池=〉礦機：Mining.Set_Difficulty、Mining.Set_Extranonce、Mining.Notify

4.礦機提交結果

礦機=〉礦池：Mining.Submit

礦池=〉礦機：返回是否接受結果，True或者False

由于加密貨幣的種類繁多，不同的加密貨幣采用的通信協議會有部分不同。

（二）明文挖礦監測

1.BTC挖礦

BTC挖礦采用了標準的Stratum協議，其傳輸數據采用標準的Json格式，有比較明顯的方法標識，如Mining.Subscribe、Mining.Authorize等。

2.XMR（門羅幣）挖礦[3]

XMR門羅幣挖礦流量簡化了過程，通過Login方法來進行認證和訂閱，礦池端在接收到Login信息后，如果驗證通過，則會直接下發任務，標準的Stratum協議的三次通信壓縮為一次，大大減少了通信流量。數據包大概分成了兩類，一類是登錄包，一類是提交包具有明顯的特點：①有Jsonrpc的版本標識；②ID字段請求和響應相等，并且逐步遞增；③帶有明顯的特征字段，例如Login、Submit、Params、Seed_Hash等。

（三）加密挖礦監測

針對礦機與礦池通信的協議檢測，目前僅適用于明文通信的情況，而大多數礦池都已支持加密通信。針對加密傳輸的情況，可以在握手協議和證書兩個層面來做一些事情。①由于挖礦的特殊性，礦池的域名和證書通常不會輕易更改，并且礦池的聚集屬性有助于保證收益的穩定性。因此可收集排名靠前礦池的域名和證書，并通過空間測繪技術運用于常用幣種，如門羅幣等的挖礦木馬監控，以發現公共礦池、私有礦池、P2P礦池、礦池代理等情報。②挖礦協議本身具有比較固定的模式，包括礦機登記、任務下發、登錄、結果提交等。明文通信和加密通信都存在類似的關系，而且每種命令交互的包大小相對固定，基于相對固定的時序和通信包大小等特征，構建加密挖礦特有的行為模型進行檢測。

三、挖礦木馬團伙態勢特征分析

本文根據互聯網上公開發布的挖礦木馬威脅情報[1，4，5]，對近期活躍挖礦木馬團伙的活動情況開展了分析研究。

（一）近期活躍挖礦木馬團伙

已知多個威脅組織在我國境內大規模傳播挖礦木馬。這些威脅組織跟蹤范圍包括“8220”、Outlaw、TeamTNT、H2Miner、Sysrv-hello、“1337”、Kthmimu、Hezb八款典型挖礦木馬團伙家族。這些威脅組織的目標平臺包括Windows和Linux系統。它們的傳播方式主要是高危漏洞利用和SSH暴力破解。最常見的漏洞包括WebLogic RCE漏洞（CVE-2020-14882/14883）、Apache Log4j漏洞（CVE-2021-44228）、Redis未授權訪問漏洞等。

（二）挖礦木馬失陷主機特征

從挖礦木馬團伙攻擊目標特征看，公共互聯網上開啟了22、135、139、445、3389等端口的主機是高危目標。開啟遠程桌面連接、OpenSSH連接及承載SQLserver、MySQL等數據庫的服務器均為重點目標。此外，許多具有豐富計算資源和電力資源的數據中心及企業內部也是挖礦木馬重災區。

（三）挖礦木馬使用礦池IP情況

以本文關注的八款挖礦木馬團伙家族所涉及的礦池為例，超過97%的礦池或礦池代理IP來自中國大陸境外；礦池IP端口中，除了80、443等常見端口，3333、17777、6666等非常見端口也占一定比例；礦池域名中，c3pool.com（貓池）、supportxmr.com、monerooceans.stream、pwndns.pw等域名非常活躍；最多的礦池地址其對應的門羅幣錢包地址高達近百個，控制著大量失陷主機為其挖取門羅幣。

四、應對建議

挖礦木馬、網頁挖礦等惡意挖礦，事后都較難通過手動檢測找到入侵路徑，而且也很難快速排查出高CPU使用率的原因。挖礦木馬可能會隱藏自身或偽裝成合法的進程，以避免被用戶刪除。預防惡意挖礦的最好方法，是在成為受害者之前采取安全措施。

針對主機挖礦木馬，建議采取如下防護措施：①安裝反病毒軟件，針對不同平臺建議安裝Windows/Linux版本。②加強SSH口令強度，避免使用弱口令，建議使用16位或更長的密碼，包括大小寫字母、數字和符號在內的組合，同時避免多個服務器使用相同口令。③建議開啟自動更新功能安裝系統補丁，服務器、數據庫、中間件等易受攻擊部分應及時更新系統補丁。④建議及時更新第三方應用如WebLogic、JBoss、Redis、Hadoop和Apache Struts等應用程序補丁。⑤開啟關鍵日志收集功能（安全日志、系統日志、錯誤日志、訪問日志、傳輸日志和Cookie日志等），為安全事件的追蹤溯源提供基礎。⑥對系統進行滲透測試及安全加固。⑦部署入侵檢測系統（IDS）：部署流量監控類軟件或設備，便于對惡意代碼的發現與追蹤溯源。

五、結束語

惡意挖礦產業背后的攻擊者一直在積極提高技能水平，不斷更新其攻擊手法，并開始針對各種平臺的硬件設備，其功能迭代及漏洞配備速度將更加迅速。隨著數字化技術的不斷發展，網絡威脅對于大眾的影響越來越與現實緊密相連。雖然惡意挖礦活動所造成的破壞性遠低于勒索軟件等惡意軟件，但其造成的廣泛影響和感染數量遠超于其他惡意軟件，是一種不容小覷的網絡威脅。

作者單位：吳海燕 胡金坤 陳亞亮 國家計算機網絡應急技術處理協調中心上海分中心

參? 考? 文? 獻

[1]CNCERT，2021年惡意挖礦威脅趨勢分析報告. https：//www.cert.org.cn/publish/main/upload/File/2021%20Malicious%20Mining%20Report.pdf

[2]辛毅，高澤霖，黃偉強.挖礦木馬的檢測與防護技術分析[J].網絡空間安全，2022，13（01）：41-46.

[3]史博軒，林紳文，毛洪亮.基于網絡流量的挖礦行為檢測識別技術研究[J].計算機應用研究[J]，2022，39（07）：1956-1960.

[4]安天CERT，2022年典型挖礦木馬盤點. https：//www.antiy.cn/research/notice&report/research_report/20230208.html

[5] CNCERT，關于“8220”黑客攻擊團伙近期活躍情況的挖掘分析報告. https：//www.cert.org.cn/publish/main/upload/File/8220%20APT.pdf