[[266166]]

加密貨幣劫持(俗稱惡意挖礦)是一種新興的在線威脅，它隱藏在服務器或PC等設備上，并利用設備資源來“挖掘”加密貨幣。挖礦威脅盡管相對較新，但它已經成為最常見的網絡威脅之一，很有可能成為網絡世界下一個主要的安全威脅。

與網絡世界中大多數其它惡意攻擊一樣，挖礦最終動機也是因為有利可圖。在了解挖礦的機制以及如何保護自己免受挖礦的荼毒之前，需要先了解一些背景。

什么是加密貨幣

加密貨幣是一種數字貨幣的形式，僅存在于網絡世界中，沒有實際的物理形式。它們以分散的貨幣單位形式存在，可在網絡參與者之間自由轉移。

與傳統貨幣不同，加密貨幣不受特定政府或銀行的支持，沒有政府監管或加密貨幣的中央監管機構。加密貨幣的分散性和匿名性意味著并沒有監管機構決定有多少貨幣將會流入市場。

大多數加密貨幣，正是通過“挖礦”方式開始進入流通。挖礦實質上是將計算資源轉變為加密貨幣。起初，任何擁有計算機的人都可以挖掘加密貨幣，但它很快就變成了軍備競賽。如今，大多數挖礦者使用功能強大的專用計算機來全天候地挖掘加密貨幣。不久，人們開始尋找挖掘加密貨幣的新方法，挖礦木馬應運而生。黑客不用購買昂貴的采礦計算機，僅需要感染常規計算機，就可以竊取他人的資源來牟取自身利益。

什么是“挖礦”行為

“挖礦”是一種使用他人設備，并在他人不知曉、未允許的情況下，秘密地在受害者的設備上挖掘加密貨幣的行為。黑客使用“挖礦”手段從受害者的設備中竊取計算資源，以獲得復雜加密運算的能力。

以比特幣挖礦為例，每隔一個時間點，比特幣系統會在節點上生成一個隨機代碼，互聯網中的所有計算機都可以去尋找此代碼，誰找到此代碼，就會產生一個區塊。根據比特幣發行的獎勵機制，每促成一個區塊的生成，該節點便獲得相應獎勵。這個尋找代碼獲得獎勵的過程就是挖礦。但是要計算出符合條件的隨機代碼，需要進行上萬億次的哈希運算，于是部分黑客就會通過入侵服務器等方式讓別人的計算機幫助自己挖礦。

挖礦攻擊的危害十分嚴重，這是因為挖礦利用了計算機的中央處理器(CPU)和圖形處理器(GPU)，讓它們在極高的負載下運行。這就如同在開車爬坡時猛踩油門或者開啟空調，會降低計算機所有其他進程的運行速度，縮短系統的使用壽命，最終使計算機崩潰。當然，“挖礦者”有多種方法來“奴役”控制你的設備。

第一種方法：就像惡意軟件一樣，一旦點擊惡意鏈接，它會將加密代碼直接加載到您的計算機設備上。一旦計算機被感染，挖礦者就會開始挖掘加密貨幣，同時保持隱藏在后臺。因為它感染并駐留在計算機上，所以它是本地的一種持續的威脅。

第二種方法：被稱為基于Web的加密攻擊。與惡意廣告攻擊類似，比如通過將一段JavaScript代碼嵌入到網頁中。之后，它會在訪問該頁面的用戶計算機上執行挖礦，該過程不需要請求權限并且在用戶離開初始Web站點后仍可長時間保持運行。那些用戶認為可見的瀏覽器窗口已關閉，但隱藏的瀏覽器窗口仍然打開。

如何發現、清除“挖礦”木馬

當出現下述這些情況的時候，說明你的設備很有可能是遭到惡意挖礦了。

1. CPU使用率居高不下;

2. 響應速度異常緩慢;

3. 設備過熱，冷卻風扇長期高速運轉;

這時，需要確定是設備本身(以服務器為主)感染了挖礦木馬，還是瀏覽器挖礦。

服務器挖礦知多少?

目前服務器挖礦使用最多的入侵方式為SSH弱口令、Redis未授權訪問，其他常見的入侵方式如下：

(1)未授權訪問或者弱口令。包括但不限于：Docker API未授權訪問，Hadoop Yarn 未授權訪問，NFS未授權訪問，Rsync弱口令，PostgreSQL弱口令，Tomcat弱口令，Telnet弱口令，Windows遠程桌面弱口令。

(2)新爆發的高危漏洞。每次爆出新的高危漏洞，尤其命令執行類漏洞，那些長期致力于挖礦獲利的黑客或挖礦家族都會及時更新挖礦payload。因此，在新漏洞爆發后，黑客會緊跟一波大規模的全網掃描利用和挖礦行動。

例如2018年爆發的WebLogic反序列化漏洞，Struts命令執行漏洞，甚至12月爆出的ThinkPHP5遠程命令執行漏洞已經被buleherowak挖礦家族作為攻擊荷載，進行挖礦。

一旦發現服務器存在挖礦跡象，又應該如何操作呢?需要盡快確認挖礦進程、挖礦進程所屬用戶、查看用戶進程、清除挖礦木馬等。

確定挖礦進程

可以使用top命令直接篩選出占用CPU過高的可疑進程，來確定挖礦進程。比如部分挖礦進程的名字由不規則數字和字母組成，可直接看出(如ddg的qW3xT.4或zigw等)。

當然，挖礦進程也有可能被修改為常見名稱來干擾運維人員。但是這種偽裝方法比較簡單(比如利用XHide修改進程名或直接修改可執行文件名)，所以排查過程中也要關注所有占用CPU較高的可疑進程。

如果看到了可疑進程，可以使用lsof -p pid 查看進程打開的文件，或查看/proc/pid/exe 指向的文件。

Isof

proc

從上圖可以看到，python進程所指向的文件明顯為異常文件，此時就需要重點排查該文件。

此外，如果挖礦木馬有隱藏進程的功能，那么很難直接從top中確定可疑進程名。這時，可從以下幾方面進行排查：

1、是否替換了系統命令

使用 rpm -Va 查看系統命令是否被替換，如果系統命令已經被替換，可直接從純凈系統拷貝ps，top等命令到受感染主機上使用。

可以看到，系統的ps、netstat、lsof 三個命令均被替換。

ps命令被替換后，會修改ps輸出的內容，從而隱藏可疑進程。此時直接使用ps命令時，會導致查詢不準確。比如gates木馬會替換ps命令，直接使用ps -ef命令查看進程時，會隱藏一個位于/usr/bin/下的進程。如下所示，使用busybox可看到可疑進程，但是使用系統的ps命令就不會看到/usr/bin/bsd-port/recei進程。

2、是否修改了動態鏈接庫

如果找不到占用CPU較高的進程，可考慮排查是否修改了動態鏈接庫，使用cat /etc/ld.so.preload 或echo $LD_PRELOAD 命令查看是否有預加載的動態鏈接庫文件。

也可以使用ldd命令查看命令依賴庫中是否有可疑動態庫文件，如圖，在將libprocesshider.so文件加入ld.so.preload文件中后，ldd 命令可看到top命令預先加載了可疑動態庫。

確認已經加載惡意動態鏈接庫后，直接移除惡意動態鏈接庫文件或清除ld.so.preload中對該庫文件的引用內容即可。

3、以上情況都可以直接通過靜態編譯的busybox進行排查。

查看挖礦進程所屬用戶

一般挖礦進程為自動化攻擊腳本，所以很少有提權的過程，那么很大可能挖礦進程所屬用戶即為攻擊進入系統的用戶。后續的排查過程可根據此尋找攻擊者的入侵途徑。

top

ps -ef |grep pid

兩種方式都可以看到，挖礦進程所屬用戶為 weblogic。

查看用戶進程

確定已失陷用戶后，可查詢該用戶所屬其他進程，判斷其他進程是否有已知漏洞(Weblogic反序列化、Struts2系列漏洞、Jenkins RCE)或弱口令(Redis未授權、Hadoop yarn未授權、SSH弱口令)等問題。

ps -ef|grep username

可以看到，weblogic用戶下除了兩個挖礦進程，還有一個weblogic應用的進程，所以這時候就應該判斷該weblogic應用是否有已知的漏洞(比如WebLogic反序列化漏洞)。如果有的話，那么該挖礦進程很可能是利用了該漏洞進入主機。

確定原因

排查出挖礦木馬后對木馬類型進行分析，根據木馬的傳播特征和傳播方式，初步判斷本次入侵的原因。然后結合應用日志以及漏洞利用殘留文件確定本次攻擊是否利用了該漏洞。

比如，利用redis未授權訪問漏洞后，一般會修改redis的dbfilename和dir的配置，并且使用redis寫文件時，會在文件中殘留redis和版本號標識，可以根據以上兩個信息排查是否利用了redis。

清除挖礦木馬

1、及時隔離主機

部分帶有蠕蟲功能的挖礦木馬在取得本機的控制權后，會以本機為跳板機，對同一局域網內的其他主機進行已知漏洞的掃描和進一步利用，所以發現挖礦現象后，在不影響業務的前提下應該及時隔離受感染主機，然后進行下一步分析。

2、阻斷與礦池通訊

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

3、清除定時任務

大部分挖礦進程會在受感染主機中寫入定時任務完成程序的駐留，當安全人員只清除挖礦木馬時，定時任務會再次從服務器下載挖礦進程或直接執行挖礦腳本，導致挖礦進程清除失敗。

使用crontab -l 或 vim /var/spool/cron/root 查看是否有可疑定時任務，有的話直接刪除，或停止crond進程。

還有/etc/crontab、/var/spool/cron、/etc/cron.daily/、/etc/cron.hourly/、/etc/cron.monthly/、/etc/anacrontab 等文件夾或文件中的內容也要關注。

4、清除啟動項

還有的挖礦進程為了實現長期駐留，會向系統中添加啟動項來確保系統重啟后挖礦進程還能重新啟動。所以在清除時還應該關注啟動項中的內容，如果有可疑的啟動項，也應該進行排查，確認是挖礦進程后，對其進行清除。

排查過程中重點應該關注：/etc/rc0.d/、/etc/rc1.d/、/etc/rc2.d/、/etc/rc3.d/、/etc/rc4.d/、/etc/rc5.d/、/etc/rc6.d/、/etc/rc.d/、/etc/rc.local /etc/inittab等目錄或文件下的內容。

5、清除公鑰文件

在用戶家目錄的.ssh目錄下放置authoruzed_keys文件，從而免密登陸該機器也是一種常見的保持服務器控制權的手段。在排查過程中應該查看該文件中是否有可疑公鑰信息，有的話直接刪除，避免攻擊者再次免密登陸該主機。

[UserDIR]/.ssh/authorized_keys

6、kill挖礦進程

對于單進程挖礦程序，直接結束挖礦進程即可。但是對于大多數的挖礦進程，如果挖礦進程有守護進程，應先殺死守護進程再殺死挖礦進程，避免清除不徹底。

kill -9 pid 或 pkill ddg.3014

在實際的清除工作中，應找到本機上運行的挖礦腳本，根據腳本的執行流程確定木馬的駐留方式，并按照順序進行清除，避免清除不徹底。

瀏覽器挖礦不可不防

首先要做的是確定吞噬資源的過程。通常使用Windows Taskmanager或MacOs的Activity Monitor足以識別罪魁禍首。但是，該進程也可能與合法的Windows文件具有相同的名稱，如下圖所示。

如果該進程是瀏覽器時，更加難以找到罪魁禍首。

當然，可以粗暴地終止該進程，但精確找到究竟是瀏覽器中的哪一個站點占用了如此之多的CPU性能是一個更好的辦法。比如，Chrome有一個內置工具，被稱為Chrome任務管理器，通過單擊主菜單中的“更多工具”并在其中選擇“任務管理器”來啟動它。

此任務管理器顯示各個瀏覽器選項卡和擴展項的CPU使用情況，因此如果您的某個擴展程序包含一個挖礦者，則它也會顯示在列表中。

寫在最后

2017年是挖礦木馬爆發的一年，而2018年是挖礦木馬從隱匿的角落走向大眾視野的一年，2019年可能是木馬瘋狂的一年。阻止挖礦木馬的興起是安全人員的重要責任，而防范挖礦木馬的入侵是每一位服務器管理員、PC用戶需要時刻注意的重點。防御挖礦木馬，任重而道遠!