服务器变“矿机”，中了挖矿木马怎么办？

在鼎盛时期，加密货币挖矿是一场军备竞赛。 加密货币价格不断飙升，一度掀起“挖矿狂潮”。 无数人高价购买显卡、图形处理单元（GPU）等挖矿设备，建设矿场和矿池，投入大量精力和财力开采加密货币。 .

图 1. 加密货币挖掘

然而，由于比特币等顶级加密货币的挖矿难度越来越大，加密货币挖矿淘金热很快就结束了，但挖矿加密货币仍然有利可图，源源不断的大军不断涌入该行业，甚至催生了一种专门用于加密货币的A病毒。用于挖掘硬币 - 一种挖掘特洛伊木马。 那么，什么是挖矿？ 挖矿木马是如何工作的？ 以及如何防守？ 本文详细研究了这些问题。

01

什么是挖矿？

简单地说，“挖矿”是指在他人不知情或未经许可的情况下，使用他人设备在受害者设备上秘密挖掘加密货币的行为。

以比特币挖矿为例，每一个时间点，比特币系统都会在节点上生成一个随机代码，互联网上所有的计算机都可以搜索到这个代码，谁找到这个代码就生成一个区块。 根据比特币发布的奖励机制，每产生一个区块，节点都会得到相应的奖励。 谁能最先计算出来并通知全网验证，即使他挖到了这个区块，也将获得这个区块的奖励和打包的矿工费。 这个寻找代码获得奖励的过程就是挖矿。

要计算出满足条件的随机码，需要进行数万亿次哈希运算。 用于挖矿的电脑一般都有专业的挖矿芯片比特币挖矿机是否违法，大部分都是通过烧显卡工作，耗电量大。 被挖矿病毒感染的电脑资源消耗非常快，CPU使用率甚至可以达到100%。 于是，一些黑客就会通过入侵服务器等方式，让别人的电脑帮自己挖矿。

如果您在上网时遇到以下情况，您的服务器很有可能被植入挖矿木马，成为供人工作的“矿机”：

02

挖矿木马是如何工作的？

早在 2011 年就出现了加密货币挖矿恶意软件，但随着越来越多的人开始投资加密货币，加密货币挖矿事件在 2017 年底急剧增加。 加密货币越有价值，黑客就越有动力去挖掘它，挖矿木马出现的频率也越高。

一般来说，挖矿木马可以通过三种方式嵌入到受害者的电脑中：

1. 钓鱼诈骗：用户通过点击钓鱼邮件中的链接成为攻击者的“矿工”，无意中将加密挖矿软件加载到他们的计算机上。

2. 受感染的网站：攻击者将恶意代码或“脚本”注入到在访问该网站的任何计算机上运行的网站中，以挖掘新的加密货币。

3、蠕虫：也有挖矿蠕虫的案例。 Cryptominers 可以将自己复制到其他计算机、设备或服务器，使此类威胁相对难以检测和消除。

一旦植入，加密矿工就会在受害者计算机的后台运行，而毫无戒心的受害者会在设备上开展业务。 挖矿脚本解决复杂的数学问题后，将结果发送给黑客，黑客将挖出的结果放入加密货币钱包中，以获取收益。

图 2. 挖矿活动的步骤

03

挖矿木马的危害

挖矿木马攻击是一种高发威胁类型比特币挖矿机是否违法，很可能导致业务系统中断。 它是最常见的网络攻击之一。 据海外科技媒体报道，挖矿木马攻击占所有安全事件的25%以上。 加密货币木马很受攻击者欢迎，因为被抓到的风险远低于勒索软件等其他形式的网络犯罪。 勒索软件需要受害者付费才能成功，而挖矿木马可以在受害者不知情的情况下消耗计算机资源。

很多人认为中了挖矿木马没什么大不了的。 最多，它会减慢系统速度并消耗系统资源，而不会造成破坏性后果。 这是一次“良性攻击事件”。 这种观点严重低估了挖矿木马。 挖木马的危害远不止于此。 受挖矿木马影响的人可能会面临以下困境：

1、资源消耗大。 挖矿导致电脑系统急剧下降，电费飙升；

2.核心数据可能会丢失。 一旦黑客获得了受害者计算机的访问权限，他们可能会跳转到网络的其他区域并窃取用户的核心数据或知识产权。

一些专家表示，流媒体和游戏网站往往是挖矿代码潜伏的热门场所。 调查数据显示，至少有35000个网站潜伏着一种挖矿软件。

04

如何防御挖矿木马？

如此广泛的“挖矿”活动背后，不仅意味着对用户资源的消耗和安全风险，更严重的是，“挖矿”活动的盲目无序发展，将扰乱正常的金融秩序，滋生非法和犯罪活动，进而影响社会稳定和国家安全。 因此，防御“挖矿”既是企业为了自身利益而采取的“自我保护方式”，也是满足合规要求的必然选择。

矿机病毒的防御可以从事前预防、事中响应、事后修复三个方面进行。

1、提前全面防范，最大限度减少挖矿木马的攻击面

无论是在系统本地感染挖矿木马还是通过浏览器感染，事后都很难通过人工检测入侵。 此外，找到高 CPU 使用率的来源可能很困难。 进程可能会隐藏自己或伪装成合法文件来迷惑用户。 此外，受感染的主机在挖矿时运行速度会非常慢，这会使故障排除过程更加困难。

因此，与其他恶意软件预防措施一样，用户在被感染之前需要确保安全。 提前发现系统漏洞，提醒各系统负责人进行修复。 系统中的漏洞点越少，被植入挖矿的概率就越低。

2、快速响应，最大限度降低挖矿木马的影响

仅从技术角度来看，挖矿木马与其他大部分木马，如DDoS木马、远程控制木马等没有本质区别，只是黑客攻击的目的不同，所以防御思路基本是相同的。 在实际遇到挖矿攻击时，挖矿木马一般的应急思路是：

隔离主机->阻断异常网络通信->清除挖矿计划任务、启动项、公钥文件->杀掉挖矿进程。

很多用户感觉挖矿木马总是清理不干净。 很明显进程已经被杀掉，木马文件也被删除了。 过了一会儿，CPU 占用率再次上升。 根本原因是清除不够彻底。 大多数用户只是杀掉挖矿进程和对应的文件，而不会清理定时任务和启动项。

图3 挖矿木马响应流程

3、事后追根溯源，总结、修复、强化制度薄弱环节

清除挖矿木马后，还有一件重要的事情要做。 不管是什么类型的木马以任何方式进行攻击，用户一定要搞清楚别人为什么能成功攻击本服务器，切不可以不明不白的方式进行攻击。 这就需要重点分析入侵临近时间段的登录日志和攻击者的入侵行为，发现系统漏洞，实施安全加固防护，以同样的方式防止下一次挖矿木马的感染。

05

挖矿木马的最佳防护实践

总体而言，挖矿木马正迅速成为网络犯罪分子手中的新工具，初步迹象表明，网络犯罪分子几乎以零成本从挖矿活动中获利。 这意味着他们将继续大规模、高频率地使用这种方法。 相应地，用户将面临更加严峻的网络安全形势，但挖矿木马并不是无法解决的问题。 预防和补救。

扫码获取《2022年网络威胁态势研究报告》

青藤万向主机自适应安全平台是防范、识别、处置挖矿木马的最佳实践平台。 包括Agent、Engine分析引擎、Console三大产品设备组件，可提供专项挖矿木马威胁情报检测、可疑挖矿木马变种样本分析、未知挖矿病毒异常外联行为检测、挖矿病毒传播过程分析等功能服务.

图4. 青藤万向挖矿木马处置函数

青藤万象的风险发现功能基于对用户资产的细粒度盘点，从安全补丁、漏洞扫描、弱口令检测、应用风险发现等角度，持续、全面、彻底地发现潜在风险和安全漏洞。

病毒查杀功能不仅支持客户根据自己的真实攻击配置病毒查杀规则，还可以在检测发现木马后通过青藤自研沙箱快速验证，生成自动查杀工具，快速彻底清除木马，完成安全事件闭环处理； 安全日志功能可完整再现黑客入侵行为，分析黑客是如何进来的，拿走了什么，留下了什么，为用户修复漏洞提供指导。

除了挖矿攻击，擎腾还致力于研究和帮助客户了解包括勒索软件和漏洞利用在内的各种网络安全威胁及其解决方案。 如果您的公司网站或Web应用受到这些恶意软件的影响，您可以扫描上方二维码或拨打400-188-9287咨询青腾安全专家解决方案或申请万向免费试用。