挖矿木马基础知识

亦风亦尘

已于 2024-04-25 09:59:00 修改

阅读量1.3k

点赞数 27

文章标签：网络安全挖矿木马应急预案安全防护信息安全安全意识

于 2024-04-24 18:19:17 首次发布

本文链接：https://blog.csdn.net/lschou/article/details/138166272

版权

本文探讨了比特币挖矿的概念，介绍挖矿木马的传播方式，如漏洞利用、NSA武器、无文件挖矿和网页挂马，以及暴力挖矿病毒。同时提供了针对挖矿木马的防范建议，强调了规范上网行为、修补安全漏洞和加强密码管理的重要性。

摘要由CSDN通过智能技术生成

文章目录

一、概述

比特币(Bitcoin)的概念最初由中本聪在 2008年11月1日提出，并于 2009年1月3日正式诞生。根据中本聪的思路设计发布的开源软件以及建构其上的 P2P 网络。比特币是一种 P2P 形式的数字的加密虚拟货币。点对点的传输意味着一个去中心化的支付系统。与所有的货币不同，比特币不依靠特定货币机构发行，它依据特定算法，通过大量的计算产生，比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。并使用密码学的设计来确保货币流通各个环节安全性。2013年流行的虚拟货币有比特币、莱特币、无限币、夸克币、泽塔币等。由于比特币不是法定货币，且交易存较大风险，自2013年以来，国家有关部门对比特币进行了有效的管控，并出台了相应的政策和法规：

2013年12月5日，《中国人民银行工业和信息化部中国银行业监督管理委员会中国证券监督管理委员会中国保险监督管理委员会关于防范比特币风险的通知》:比特币是一种特定的数字商品;比特币交易作为一种互联网上的商品买卖行为，普通民众在自担风险的前提下，拥有参与的自由。
2017年9月4日，《中国人民银行中央网信办工业和信息化部工商总局银监会证监会保监会关于防范代币发行融资风险的公告》:禁止从事代币发行融资活动(ICO);交易平台不得从事法定货币与代币、“虚拟货币”相互之间的兑换业务，不得买卖或作为中央对手方买卖代币或“虚拟货币”，不得为代币或“虚拟货币”提供定价、信息中介等服务。
2021年6月21日,，中国人民银行有关部门就银行和支付机构为虚拟货币交易炒作提供服务问题，约谈了多家银行和支付机构，禁止使用机构服务开展虚拟货币交易。
2021年9月3日，国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知。要求全面梳理排查虚拟货币“挖矿”项目。禁以数据中心名义开展虚拟货币“挖矿”活动等要求。
2022年开始，国资委每年发送通知，要求开展虚拟货币“挖矿”活动清理相关工作。

基于目前比特币等虚拟货币存在着大量的商业价值,市场上许多黑客和不法分子通过植入后门等途径，非法利用第三计算机资源进行挖矿行为。目前国内很多数据中心、办公电脑成为了很多不法分子挖矿的资源。为更好净化网络环境和节能减排，需对数据中心出口、网络边界出口进行流量监控和分析，发现非法挖矿应用，并对相关应用进行有效的阻断，从而保障服务器、办公电脑等资产不被侵占。

二、挖矿介绍

挖矿：是对加密货币(比如比特币)开采的一个俗称开采比特币就像是求解一道数学题,最先得到答案，就获得相应的奖励，所以整个求解并验证的过程就叫做挖矿。

挖矿主要有三种方式:第一类使用专业的矿机;第二类使用高速显卡挖矿;第三使用CPU挖矿。

矿机：协助破解数字答案的设备就称为矿机。

矿工：运行矿机，获得收益的人群就被成为矿工。

矿场：矿场是很多台矿机组合到一起，使得算力增强。钱包:像一张银行卡一样，拥有一个唯一卡号(地址)来接收或发送你的虚拟货币矿池挖到币以后，给你发到这个地址上，币就进入了你的钱包。

矿池：随着参与挖矿的人越来越多,比特币全网的算力不断上涨,单个设备或者少量的算力都很难再挖到比特币,这个时候矿池就产生了，矿池是突破地址位置的限制，将各地的算力汇聚起来增强算力，并把收益平分给所有算力，保证矿池参与者收入稳定。那么所有队伍中的人会根据每个人的电脑性能进行分红。

比如：1000人在同一个矿池中挖矿，挖出一个区块后，这个区块产生的N个比特币的报酬，会根据这 1000个人的电脑性能进行分红。如果你的电脑性能强劲，也许会分到 100分之 1，如果性能落后，也可能会分到 10000分之1。

三、挖矿木马的传播方式

现在很多的挖矿木马已经不在像之前那样傻傻的，通过top、netstat等命令可以直接看到恶意程序，现在会使用一些隐藏手段去隐藏挖矿进程来存活更久。其感染方式也是变的多种多样。

漏洞利用

Windows系统漏洞、服务器组件插件漏洞、中间件漏洞以及web漏洞；redis、ssh、3389、mssql、IPC$等各种弱口令漏洞。利用系统漏洞或弱口令快速获取相关服务器权限，植入挖矿木马。

NSA武器的使用

“方程式黑客组织”使用的部分网络武器被公开，其中包括可以远程攻破全球约70% Windows系统的漏洞利用工具。包括永恒之蓝、永恒冠军、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。黑客NSA武器进行批量漏洞扫描攻击，获取更多肉鸡，植入挖矿木马贡献算力。

无文件挖矿

通过在Powershell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地，直接在Powershell.exe进程中运行，这种注入“白进程”执行的方式可能造成难以检测和清除恶意代码。

利用网页挂马

网站在其网页内嵌了挖矿 JavaScript 脚本，用户一旦进入此类网站，JS 脚本就会自动执行，自动下载若干个病毒。部分系统存在flash高危安漏洞，也被攻击者利用，使电脑自动运行挖矿代码。

暴力挖矿病毒

最早是360 发现了可以迅速传播的挖矿劫持程序WinstarNssmMiner。这个恶意程序的特别之处在于，卸载它会让受害者的计算机崩溃。WinstarNssmMiner首先启动svchost.exe进程并向其植入代码，然后将该进程的属性设置为CriticalProcess。由于计算机将其视为关键进程，因此一旦强制结束该进程，计算机就会蓝屏。