MINE:金色觀察丨利好行情或將刺激挖礦木馬活躍？騰訊安全發布2019年度挖礦木馬報告_Super Mine Pool

2020年，以比特幣為首的多個加密貨幣即將迎來減半，在減半利好和區塊鏈產業發展的推動下，比特幣價格總體呈現上升趨勢，加密貨幣也頗受各方投資者的青睞。隨著市場的回暖，挖礦木馬恐有抬頭之勢，恰好近日騰訊安全發布了2019年度挖礦木馬報告，借此機會，我們來聊一聊挖礦木馬。

挖礦木馬的原理及種類

騰訊安全在2019年度挖礦木馬報告中指出，2019年挖礦木馬最活躍的三個家族分別為WannaMiner、MyKings、DTLMiner（永恒之藍下載器木馬），我們就從這三個說起。

其中MyKings是老牌的僵尸網絡家族，而WannaMiner和DTLMiner分別在2018年初和年底出現。在2019年這幾個家族都有超過2萬用戶的感染量，他們的共同特點為利用“永恒之藍”漏洞進行蠕蟲式傳播，使用多種類的持久化攻擊技術，難以被徹底清除。

金色財經行情播報 | BTC快速拉升，市場節奏發生轉變:據火幣行情顯示，今日上午BTC價格迅速拉升，最高觸及9530.56USDT，市場節奏發生轉變。日線圖突破大周期下降楔形，均線多頭排列。4小時圖沿均線MA10形成上升通道，局部拉升后乖離值過大有整理需求。1小時圖整理已經接近MA5，后市多頭仍有發力空間。截至10:00，火幣平臺的主流幣的具體表現如下。[2020/7/23]

我們都知道，挖礦的過程簡單來說，就是計算當前區塊的hash值，生成區塊。如果沒有沒人挖礦，就生成不了新的區塊，區塊鏈就不會增加，那么比特幣就沒法進行交易，無法進行流通。為了保證不斷有人進行挖礦，不斷有新的區塊產生，保證區塊鏈的增長，比特幣設計了獎勵機制，誰能在規定時間內生成新的區塊并被其他節點認可，那么就會給挖礦的人一定的比特幣獎勵。這個時候就是拼計算機的運算速度了，為了保證區塊的生產需要一定時間，比特幣會不斷的調整挖礦的難度。

金色晨訊 | 支付寶區塊鏈首次用于地鐵 俄羅斯或禁止使用加密貨幣支付:1.廈門市出臺四項文件，加快推動區塊鏈等新一代信息技術與實體經濟融合。

2.多部委召開電視電話會議 要求推進區塊鏈等新技術在體育產業的實踐和應用。

3.支付寶區塊鏈首次用于地鐵：長三角地鐵“通票”覆蓋11城1842公里。

4.原中行行長李禮輝：DC/EP推出后央行仍擁有貨幣調控的絕對權力。

5.廣東黨政機關、科研機構600余人集體學習總書記區塊鏈重要講話，共謀粵港澳區塊鏈創新發展。

1.IDAX Global CEO已失蹤5日 暫不能訪問交易所冷錢包 也無法提供存提服務。

2.思科新專利將通過區塊鏈保護5G網絡安全。

3.日本CBDC研究報告：除央行數字貨幣在銀行間發行，否則它不違反日本銀行法案。

4.俄羅斯或禁止使用加密貨幣支付商品和服務。

5.美國財政部提交報告支持推行區塊鏈監管沙盒。

6.歐盟關于第四項反洗錢指令的新提案將允許受監管的銀行持有出售比特幣。

7.德國銀行或將很快可以直接提供加密貨幣服務，無需依賴第三方托管人。[2019/11/30]

在這樣的機制下，我們可以看出，挖礦的核心是算力，利用木馬控制大量的“肉雞”組建僵尸網絡，用被控制的電腦算力來挖礦，便是挖礦木馬最常見的手段。挖礦木馬通常會監控用戶設備的使用情況，在閑置時間悄悄啟動，而在用戶正常使用時段隱匿，因此難以被發現。有些木馬甚至還會監控剪貼板，偷取用戶的地址秘鑰，在交易過程中悄悄替換成黑客的地址，給用戶帶來巨大的財產損失。

金色晨訊 | 普京下令在7月前執行加密貨幣法規 AE將于2019年3月6日在47800區塊高度硬分叉:1.加密挖礦服務公司Coinhive將于3月8日停止運營。

2.Gemini加入英國電信Radianz Cloud社區。

3.ConsenSys與國際可信區塊鏈應用協會合作。

4.普京下令在7月前執行加密貨幣法規。

5.CoinDesk：BHB項目涉嫌偽造團隊成員信息。

6.AE將于2019年3月6日在47800區塊高度硬分叉。

7.網易旗下游戲《天諭》使用區塊鏈技術。

8.美國立法者簽署公司股票代幣等四項新的區塊鏈法案。

9.法國AMF主席：支持加密資產ICO監管制度的可選擇性。[2019/2/28]

在了解了挖礦木馬的大致原理后，我們再來看看騰訊安全特意指出的三個最活躍的木馬。

金色財經獨家分析 寧波大力推動區塊鏈技術在各行業內的落地應用助力城市發展:金色財經獨家分析，今日據《寧波日報》報道，寧波引進以區塊鏈等數字經濟為核心的產業項目，前4個月實到資金353.61億元。此外，寧波市還積極運用區塊鏈等技術分析互聯網海量數據，形成有效的可視化預警信息。并在寧波保稅區建設了全國首個保險區塊鏈技術適用試驗區。寧波也正在醞釀建立家政服務行業征信體系，相關工作今年啟動。寧波市在積極探索區塊鏈在各個行業的落地應用，以更好的服務于城市建設，突破發展瓶頸，全力打造金融科技示范基地。[2018/5/22]

MyKings僵尸網絡是2017年2月左右出現的大型僵尸網絡，通過掃描互聯網上1433 及其他多個端口滲透進入受害者主機，然后傳播包括 DDoS、Proxy、RAT（遠程控制木馬）、Miner（挖礦木馬）在內的多種不同用途的惡意代碼。 18年5月，MyKings僵尸網絡開始傳播新型挖礦木馬NSISMiner，利用NSIS的插件和腳本功能實現挖礦木馬的執行、更新和寫入啟動項，同時還具備通過SMB爆破進行局域網傳播的能力。18年10月，新增錢包地址劫持模塊buff2.exe，檢測剪切板內容中的比特幣、門羅幣、以太坊等25種數字加密貨幣錢包地址、和電子支付系統(WebMoney、YandexMoney、stream)相關卡號，并將其替換為黑客的錢包地址和卡號，盜取收益。在19年3月，MyKings僵尸網絡已啟用新域名傳播NSISMiner挖礦木馬，同時也啟用了新的礦池和錢包地址。

WannaMine采用“無文件”攻擊組成挖礦僵尸網絡，攻擊時執行遠程Powershell代碼，全程無文件落地。為了隱藏其惡意行為，WannaMine還會通過WMI類屬性存儲shellcode, 并使用“永恒之藍”漏洞攻擊武器以及“Mimikatz+WMIExec”攻擊組件進行橫向滲透。 挖礦病入侵后，用戶最直觀的感受就是電腦性能明顯下降、發熱量上升、風扇強化散熱噪音增大。有經驗的網民打開電腦任務管理器，會發現CPU和GPU占用率飆升到接近100%。由于電腦性能明顯下降，會嚴重影響企業辦公網絡的正常運行。

DTLMiner是2018年底發現的木馬，在短時間內已有多次更新，會根據電腦系統位數執行不同版本的挖礦程序，對使用AMD Radeon顯卡并且操作系統是64位的電腦 “格外照顧”，會同時運行兩個不同的挖礦程序，并且通過盜取受害者電腦內包括開機時間、當前日期、顯卡信息、U盤和網絡磁盤等隱私信息，最大程度來壓榨受害者電腦，為攻擊者帶來更多的不法利益。挖礦模塊會下載顯卡驅動，利用顯卡進行挖礦，從而大幅提升挖礦速度，并導致中機器CPU和顯卡占用率過高，機器卡頓、顯卡發熱，嚴重影響用戶正常工作。

挖礦木馬的核心還是獲取加密貨幣，在今年市場行情走高的刺激下，很可能會再度活躍。

挖礦木馬的防治

知己知彼，百戰不殆，在對挖礦木馬有了細致的了解之后，我們再來說說如何防治。騰訊安全的2019年度挖礦木馬報告中提到，2019年挖礦木馬主要入侵方式前三名分別是漏洞攻擊、弱口令爆破和借助僵尸網絡。由于挖礦木馬需要獲取更多的計算資源，所以利用普遍存在的漏洞和弱口令，或者是控制大量機器的僵尸網絡進行大規模傳播成為挖礦木馬的首選。

掌握一定技術手段的用戶或許可以從蛛絲馬跡看出端倪，及時清除挖礦木馬等可疑程序，那么普通人該如何防治呢？

目前主流的殺軟件和安全防控軟件都可以捕獲到挖礦木馬，但一些木馬程序會頻頻更新，確保我們自己的殺軟件及時升級到最新版本，更新修補安全漏洞，是安全防護的基本。

局域網用戶切勿使用弱口令，防止病通過SMB暴力破解在局域網內主動擴散。同時，盡量關閉不必要的端口，如：445、135，139等，對3389，5900等端口可進行白名單配置，只允許白名單內的IP連接登陸。 對沒有互聯需求的服務器/工作站內部訪問設置相應控制，避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器。 

此外，及時對重要文件和數據（數據庫等數據）進行定期非本地備份也十分重要。避免遭遇更加惡劣的木馬程序導致文件數據丟失。

加密貨幣前景可期，希望廣大用戶在面對利好的同時，不要放松警惕，讓不法分子有機可乘。

Tags：區塊鏈MINMINEINE區塊鏈游戲幣拍賣Super Mine PoolMeta MinerDiviner

USDT