春节快到了，矿毒不关！奇安信处理多台服务器挖矿突发事件

千信威胁情报中心消息如何用服务器挖矿，近日，挖矿病毒犯罪团伙活动十分活跃。 1月以来，奇安信安全团队协助客户处理了多起服务器挖矿突发事件，涉及大型央企、互联网、数据中心等一批重要行业客户。尤其是临近春节，很多单位已经提前进入放假状态，服务器安全被忽视，给了黑客可乘之机。目前，奇安信安全团队收到的服务器挖矿处理需求仍在快速增长中。

自国家发改委宣布全面开展虚拟货币“挖矿”整治工作以来，从严查处国有单位机房“挖矿”行为，专项行动层层推进，整改目标也从国企、央企转变。扩大到全国重点企业，明确矿毒整治目标为零，矿毒整治工作刻不容缓！

n 什么是“挖矿”

“挖矿”是指消耗CPU、GPU等计算资源生产虚拟货币，与虚拟货币相关的业务属于非法金融活动，挖矿也是非法的。同时，虚拟货币挖矿不仅会占用宝贵的计算资源，还会消耗大量的电力和能源。据统计，专业矿机生成一个比特币所消耗的电量足够一家三口使用一年，而挖矿病毒所消耗的电量是专业矿机的500倍！

来自国家 整顿挖矿活动以来，内蒙古、新疆、四川、云南等多个虚拟货币矿场已被整顿关闭。仅在内蒙古，就有35家矿业企业被关闭。据初步统计，清理这35家矿企，每年可以节电。 52亿千瓦时，相当于160万吨标准煤。尽管大部分专业挖矿机构已被整顿关闭，但目前市值最高的虚拟货币“比特币”价值高达3万多美元。在收益巨大的趋势下，挖矿行为将从“地下”转移到“地下”，通过挖矿病毒获取虚拟货币将成为主要手段。大量新的挖矿病毒或将不断诞生，企业的服务器资源将面临前所未有的安全压力。

n种挖掘病毒

目前常见的挖矿病毒主要有以下三种：

1. 二进制挖掘病毒

可以独立执行的挖矿程序相对容易被杀毒引擎发现。该类挖矿病毒除了具备挖矿能力外，还可能具有shh文件遍历、暴力破解、漏扫等能力。启用横向移动以污染更多服务器。典型例子有：windows平台的wann miner、linux平台的jboss miner、移动平台的ADB.Miner等。

2.无文件挖矿代码

在powershell、wmi等高权限进程中注入恶意代码，通过这些进程进行挖矿操作。没有本地文件，属于无文件攻击，反病毒引擎很难发现，检测难度大。典型的例子是 powershell 矿工和 ghost 矿工。

3.挖矿脚本

网页或网络插件形式的网络脚本文件。当访问者浏览嵌入了挖矿脚本的网站时，终端或手机将作为矿机进行挖矿计算。国外知名视频网站YouTube被曝出攻击者在广告中的JavaScript代码中植入挖矿脚本，导致数千名用户在不经意间成为肉矿机。

n 挖掘病毒入侵方法

1.终端入侵：

个人PC端和移动端主要通过钓鱼邮件、浏览恶意网站、应用夹带、伪装应用等方式感染。由于个人终端的计算能力有限，感染和挖矿的症状明显容易被发现，所以终端更多地作为进一步渗透到业务服务器的跳板。

2.服务器入侵：

计算能力更强的服务器长期以来一直是挖矿团伙的主要攻击目标，拥有大量服务器的数据中心更容易受到攻击。安全风险。目前发动挖矿病毒的主要方式是利用密码风险（暴力破解、弱密码、密码重用、终端感染）、Nday/0day漏洞（尤其是Web应用中的RCE漏洞）、内网横向移动（IPC$ , 凭证盗窃, PTH 等), 因为一般的安全策略在内网环境不严格, 服务器中存在大量未修复的漏洞和弱密码, 所以一旦边界服务器被攻破, 就只是一个内网被挖矿程序渗透只是时间问题。

n台感染挖矿病毒的服务器的明显特征

1.CPU和GPU使用异常：

①陌生进程资源使用异常

特点是陌生进程占用大量CPU资源，一些挖矿病毒还会伪装成www、apache等白进程实现混淆。

②系统进程资源占用率异常

目前无文件挖掘病毒最常见的攻击目标是powershell。首先将恶意代码注入powershell，然后使用powershell进行挖矿，其特点是powershell占用大量CPU资源并创建攻击文件。

2. 外部连接异常：

服务器感染挖矿病毒的另一个特点是外部连接异常，分为两种情况：

①直连矿池；

故障服务器直接连接公网矿池上传挖矿数据，这种方式有两个弊端：1.内网服务器无法直连公网矿池； 2.公网矿池的IP地址和URL容易被威胁情报或态势感知设备命中，容易暴露。所以现在越来越多的攻击者使用代理节点来实现分布式挖矿。

②连接代理服务器如何用服务器挖矿，代理连接矿池

故障服务器先连接代理c2服务器，通信方式也由明文传输改为加密隧道传输，更加隐蔽，因为代理c2服务器的IP地址可以经常变化，所以很难基于黑名单机制被流量检测设备发现，成为当前挖矿行为的主要传播方式。

如何有效防御服务器端挖矿病毒？

根据服务器实际攻防对抗经验，需要保护好攻击链中的每一个环节，提高每一个入侵点的攻击阈值，将黑客攻击的成功率降到最低。奇安鑫交图服务器安全管理系统（简称交图）通过服务器端轻量级代理和探测的方式，在网络层、应用层和系统层监控挖掘病毒引起的异常行为，可有效防止病毒入侵和扩散。

根据挖矿病毒的攻击链，我们可以将攻击分为外部检测、运行时和控制三个阶段。防护逻辑可以有效干扰挖矿病毒的渗透：

外部检测阶段

在这个阶段，黑客首先进行探索性攻击，我们的主要对策是提前发现自己。弱点，规避潜在风险，就像抗击新冠肺炎一样，出行需要戴口罩，避免接触高危地区，定期做账测试。

1.端口扫描保护：

服务器信息收集是黑客攻击的第一步。根据 Mitre 的 ATT&CK 攻击矩阵，在侦察阶段有主动扫描方法。 , 收集服务器信息, 社会工程, 钓鱼, 搜索开放数据库, 搜索开放网站等. 10 多种攻击都是针对服务器“端口”的, 所以攻防的初始阶段就是要做好端口保护。通过焦兔的微隔离端口白名单功能，可以有效限制访问源，使服务器的指定端口只能被特定的ip或ip段访问，避免恶意ip的入侵；对于web等无法限制ip访问的开放服务，通过焦兔的反端口扫描功能，可以智能识别访问者是真实访问者还是攻击扫描器，从而有效实现端口访问保护。

2.暴力破解保护：

目前，在攻击事件中，由密码问题引起的入侵仍然占很大比例，存在弱密码和密码复用等问题。可能导致暴力破解成功。除了自动检测弱密码和密码重用风险外，交途还支持异常登录检测，可以限制允许访问的用户名和IP，及时阻断异常登录行为。

3.漏洞利用保护

目前网络上存在大量漏洞POC利用工具，大大降低了攻击成本，尤其是挖掘病毒常用的rce类型漏洞在漏洞管理方面，焦土可以快速检测到高系统和应用中的漏洞风险，并提供漏洞详情、修复建议，以及修复影响的全局风险仪表盘，让用户实时掌握业务环境的漏洞。但是，实际上，错误修复可能会导致应用程序或服务器重新启动。为了不影响业务，很多客户只能牺牲安全来保护业务。为了解决这个痛点，焦兔推出了虚拟补丁功能，可以在内核模式下基于WFP框架/Netfilter。该框架实现了流量牵引，在应用状态下将服务器的出入流量通知给IPS引擎，利用IPS引擎对流量进行检测和保护，防止已知漏洞不打补丁就被利用。

运行时阶段

现阶段，挖矿病毒即将登陆或已经登陆。我们的主要工作是防止矿工病毒执行，就像新冠肺炎疫苗可以让身体产生免疫力一样，即使接触病毒也不能让它感染身体。

1.webshel​​l上传和执行保护：

webshel​​l 是目前最常用的黑客工具。升级和其他操作。 webshel​​l有四种类型：大马、小马、一句话木马和记忆马。其中，单句木马和记忆木马难以检测，最常被黑客利用。

交图在IIS、APACHE、TOMCAT等Web服务中嵌入流量检测插件，为服务赋能安全能力，实现应用运行时的自我保护。 IN-APP WAF代理HTTP请求，有效阻断SQL注入、溢出攻击、webshel​​l夹带等web攻击，有效防御webshel​​l登陆服务器；对于通过IN-APP WAF保护的web地狱，RASP会在其执行过程中检测相关的文件操作和命令。可以阻止执行和网络 IO 中产生的异常行为。同时可以有效识别菜刀、蚂蚁剑、冰蝎等工具连接本地webshel​​l的行为。结合webshel​​l特征库和沙箱，可以有效防止webshel​​l的登陆和执行。

2.挖矿病毒执行防护：

挖矿病毒登陆后，需要安装并运行才能进行挖矿操作。焦兔通过杀毒引擎可以快速检测和隔离常见病毒。挖矿病毒落地后会被检测并杀死；焦兔在系统层运行时的防护探针将阻止无数字签名的加载过程，发现逃过杀毒检测的新的或变形的挖矿病毒的执行；对于业务交互，对于较少的服务器，也可以采用申请白名单的机制，只允许白名单中的进程执行，可以大大降低挖矿病毒的感染概率。

上一篇也提到过，无文件挖矿代码已经出现，通过污染powershell等系统进程进行挖矿，实现白申请黑利用。对于这类攻击，焦兔也使用了应用运行时检测探针，可以实时监控应用中功能的执行情况，并与检测模块匹配，可以发现命令执行、脚本解析、实时下载、数据执行、堆栈、SQL和外部连接。行为，阻断高权限应用程序的危险代码执行操作，从而有效阻断无文件挖掘攻击。

控制阶段

在这个阶段，挖矿病毒已经成功运行在某台服务器上，我们的主要工作是防止这台机器连接到C2服务器传输数据和横向移动污染更多的服务器，比如立即隔离被感染的人感染了新冠肺炎。

进程外部连接控制：

如前所述，服务器挖矿病毒的一个明显特征是出现非法外部连接。通过辣椒图，可以深入了解服务器相关进程的文件操作、命令执行和网络IO，微隔离-进程白名单功能会自动显示进程连接内网和外网的详细信息，包括：外连过程，外连IP&URL，操作用户，可设置白名单策略限制服务器可以访问的ip和URL，可以有效阻断丢失服务器连接矿池或矿池代理的行为，同时还能有效防止内网以丢失的服务器为跳板横向移动。

挖矿病毒需要定期防控

就像新冠肺炎需要定期防控一样，挖矿病毒会不断有变种和新的传播方式，所以我们需要建立服务器端挖矿病毒的防御、处理和应急机制，建立一个从挖矿病毒的外部检测、运行时间、控制三个阶段规范防控、早发现早治疗、实时检测和响应的意识，有效防御挖矿病毒的入侵和传播。