挖礦木馬為什么會成為病毒木馬的中流砥柱？？？

　　一、概述
　　根據(jù)情報(bào)中心監(jiān)測數(shù)據(jù)，2018年挖礦木馬樣本月產(chǎn)生數(shù)量在百萬級別，且上半年呈現(xiàn)快速增長趨勢，下半年上漲趨勢有所減緩。由于挖礦的收益可以通過數(shù)字加密貨幣系統(tǒng)結(jié)算，使黑色產(chǎn)業(yè)變現(xiàn)鏈條十分方便快捷，少了中間商(洗錢團(tuán)伙)賺差價。數(shù)字加密幣交易系統(tǒng)的匿名性，給執(zhí)法部門的查處工作帶來極大難度。
　　在過去的2018年，挖礦病毒的流行程度已遠(yuǎn)超游戲盜號木馬、遠(yuǎn)程控制木馬、網(wǎng)絡(luò)劫持木馬、感染型病毒等等傳統(tǒng)病毒。以比特幣為代表的虛擬加密幣經(jīng)歷了過山車行情，許多礦場倒閉，礦機(jī)跌落到輪斤賣的地步。但即使幣值已大幅下跌，挖礦木馬也未見減少。因?yàn)榭刂扑说娜怆u電腦挖礦，成本為零。
　　當(dāng)電腦運(yùn)行挖礦病毒時，計(jì)算機(jī)CPU、GPU資源占用會上升，電腦因此變得卡慢，如果是筆記本電腦，會更容易觀察到異常：比如電腦發(fā)燙、風(fēng)扇轉(zhuǎn)速增加，電腦噪聲因此增加，電腦運(yùn)行速度也因此變慢。但是也有挖礦木馬故意控制挖礦時占用的CPU資源在一定范圍內(nèi)，并且設(shè)置為檢測到任務(wù)管理器時，將自身退出的特性，以此來減少被用戶發(fā)現(xiàn)的幾率。
　　根據(jù)情報(bào)中心監(jiān)測數(shù)據(jù)，2018年挖礦木馬樣本月產(chǎn)生數(shù)量在百萬級別，且全年呈現(xiàn)增長趨勢。
　　我們對2018年挖礦病毒樣本進(jìn)行歸類，對挖礦木馬使用的端口號、進(jìn)程名、礦池的特點(diǎn)進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)以下特點(diǎn)：
　　挖礦木馬最偏愛的端口號依次為3333、8008、8080。
　　挖礦木馬喜歡將自身進(jìn)程名命名為系統(tǒng)進(jìn)程來迷惑用戶，除了部分挖礦進(jìn)程直接使用xxxminer外，最常使用的進(jìn)程名為windows系統(tǒng)進(jìn)程名：svchost.exe以及csrss.exe。
　　挖礦木馬連接礦池挖礦，從礦池獲取任務(wù)，計(jì)算后將任務(wù)提交到礦池。礦工將自己的礦機(jī)接入礦池，貢獻(xiàn)自己的算力共同挖礦，共享收益。2018年挖礦木馬應(yīng)用最廣泛的礦池為f2pool.com，其次為minexmr.com。
　　二、2018年挖礦木馬傳播特點(diǎn)
　　1.瞄準(zhǔn)游戲高配機(jī)，高效率挖礦
　　輔助外掛是2018年挖礦木馬最喜愛的藏身軟件之一。由于游戲用戶對電腦性能要求較高，不法分子瞄準(zhǔn)游戲玩家電腦，相當(dāng)于找到了性能“絕佳”的挖礦機(jī)器。
　　案例1：tlMiner挖礦木馬利用《絕地求生》玩家的高配置機(jī)器，搭建挖礦集群
　　2017年年底殺毒軟件發(fā)現(xiàn)一款名為“tlMiner”的挖礦木馬，隱藏在《絕地求生》輔助程序中進(jìn)行傳播，單日影響機(jī)器量最高可達(dá)20萬臺。經(jīng)溯源分析發(fā)現(xiàn)，該木馬在2017年12月8號輔助新版發(fā)布后開始植入輔助工具，其間有過停用，但巨大的利益驅(qū)使不法分子在12月25號重新開放輔助及挖礦功能。
　　2018年1月殺毒軟件對tlMiner挖礦行為及傳播來源進(jìn)行曝光，隨即在3月份配合守護(hù)者計(jì)劃安全團(tuán)隊(duì)，協(xié)助山東警方快速打擊木馬作者，并在4月初打掉這個鏈條頂端的黑產(chǎn)公司。據(jù)統(tǒng)計(jì)，該團(tuán)伙合計(jì)挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現(xiàn)金)、BCD(比特幣鉆石)等各種數(shù)字加密貨幣超過2000萬枚，非法獲利逾千萬。
　　案例2：藏身《荒野行動》輔助的挖礦木馬
　　2018年2月，殺毒軟件發(fā)現(xiàn)一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程序中傳播，并在2月中下旬通過社交群、網(wǎng)盤等渠道傳播，出現(xiàn)明顯上漲趨勢。
　　2018年6月，致力于傳播勒索病毒的病毒作者xiaoba也盯上了《荒野求生》輔助外掛，在網(wǎng)站xiaobaruanjian.xyz上提供荒野行動游戲輔助，并將挖礦木馬等植入其中。一旦從該網(wǎng)站下載運(yùn)行所謂的吃雞輔助，電腦CPU會被大量占用挖礦。
　　如果碰巧遇到中毒電腦有比特幣、以太坊交易，xiaoba挖礦木馬還會監(jiān)視剪切板，當(dāng)中毒電腦上發(fā)生比特幣、以太坊幣交易時，病毒會在交易瞬間將收款人地址替換為自己的，從而實(shí)現(xiàn)加密貨幣交易搶劫。
　　案例3：通殺游戲外掛的520Miner挖礦木馬
　　2018年5月情報(bào)中心感知到一款名為“520Miner”的挖礦木馬。由于520Miner僅能使用CPU挖取VIT幣，對電腦性能要求不高，所有個人PC機(jī)都能參與，因此520Miner挖礦團(tuán)伙通過游戲外掛傳播挖礦木馬，在上線短短兩天，就感染了國內(nèi)數(shù)千臺機(jī)器。然而從收益來看，木馬在幾天內(nèi)總共挖取67枚VIT幣，總價值不到一毛錢人民幣，可以說是史上最能窮折騰的挖礦木馬。
　　2.應(yīng)用獨(dú)特技術(shù)逃避攔截
　　案例1：“美人蝎”礦工通過DNS隧道技術(shù)逃避攔截
　　2018年5月情報(bào)中心感知到一款挖礦木馬，其隱藏在美女圖片當(dāng)中，利用圖片加密傳遞礦池相關(guān)信息，因此得名為“美人蝎”挖礦木馬。該木馬控制超過2萬臺肉雞電腦，分配不同的肉雞集群挖不少于4種數(shù)字加密幣：BCX(比特?zé)o限)，XMR(門羅幣)，BTV(比特票)，SC(云儲幣)等。
　　木馬特點(diǎn)還在于通過DNS隧道返回的信息來獲取隱蔽的C2信息。首先通過DNS協(xié)議訪問一級C2，第一級C2服務(wù)器會回應(yīng)一段text串，解密后得到二級C2地址，DNS協(xié)議是建立在UDP協(xié)議之上，同時又是系統(tǒng)級協(xié)議，很少有殺軟會偵測DNS數(shù)據(jù)是否異常。
　　3.挖礦木馬版本快速升級
　　案例1：Apache Struts2高危漏洞致企業(yè)服務(wù)器被入侵安裝KoiMiner挖礦木馬
　　2018年7月情報(bào)中心發(fā)現(xiàn)有黑客利用攻擊工具檢測網(wǎng)絡(luò)上存在Apache struts2漏洞(CVE-2017-5638)服務(wù)器，發(fā)現(xiàn)存在漏洞的機(jī)器后通過遠(yuǎn)程執(zhí)行各類指令進(jìn)行提權(quán)、創(chuàng)建賬戶、系統(tǒng)信息搜集，然后將木馬下載器植入，進(jìn)而利用其下載挖礦木馬netxmr4.0.exe。
　　由于挖礦木馬netxmr解密代碼后以模塊名“koi”加載，因此將其命名為KoiMiner。
　　通過多個相似樣本進(jìn)行對比，發(fā)現(xiàn)木馬作者在一個月內(nèi)更新發(fā)布了4個挖礦木馬版本。
　　簡單介紹下變化較大的兩個版本：
　　版本1：

　　2018年11月情報(bào)中心發(fā)現(xiàn)KoiMiner挖礦木馬變種，該變種的挖礦木馬已升級到6.0版本，木馬作者對部分代碼加密的方法來對抗研究人員調(diào)試分析，木馬專門針對企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊，攻擊成功后植入挖礦木馬，并且繼續(xù)下載SQL爆破工具進(jìn)行蠕蟲式傳播。
　　版本2：
　　2018年12月情報(bào)中心再次檢測到KoiMiner活動，此次的樣本仍然專門針對企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊，攻擊成功后會首先植入Zegost遠(yuǎn)程控制木馬(知名遠(yuǎn)控木馬Gh0st的修改版本，安裝后會導(dǎo)致服務(wù)器被黑客完全控制)，控制機(jī)器進(jìn)一步植入挖礦木馬。 黑客攻擊時使用的SQL爆破工具CSQL.exe加密方法與7月發(fā)現(xiàn)的樣本一致，解密后以模塊名“koi”加載執(zhí)行。
　　通過SQL爆破工具的解壓路徑“1433騰龍3.0”進(jìn)行溯源，發(fā)現(xiàn)與攻擊事件相關(guān)聯(lián)的一個黑客技術(shù)論壇(騰龍技術(shù)論壇)，并通過信息對比確認(rèn)相關(guān)的論壇活躍成員“*aoli**22”，論壇傳播的挖礦木馬生成器“SuperMiner v1.3.6”,以及該成員注冊C2域名使用的姓名和電話號碼。
　　4.暴力入侵多家醫(yī)院，威脅醫(yī)療系統(tǒng)信息安全
　　案例：多家三甲醫(yī)院服務(wù)器遭暴力入侵，黑客趕走50余款挖礦木馬獨(dú)享挖礦資源
　　醫(yī)療業(yè)務(wù)系統(tǒng)正在快速實(shí)現(xiàn)信息化，醫(yī)療業(yè)務(wù)系統(tǒng)成為黑客攻擊的重點(diǎn)。2018年7月情報(bào)中心檢測到多家三甲醫(yī)院服務(wù)器被黑客入侵，攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù)，之后利用有道筆記的分享文件功能下載多種挖礦木馬。
　　攻擊者將挖礦木馬偽裝成遠(yuǎn)程協(xié)助工具Teamviewer運(yùn)行，并且挖礦木馬會檢測多達(dá)50個常用挖礦程序的進(jìn)程，將這些程序結(jié)束進(jìn)程后獨(dú)占服務(wù)器資源挖礦。木馬還會通過修改注冊表，破壞操作系統(tǒng)安全功能：禁用UAC(用戶帳戶控制)、禁用Windows Defender，關(guān)閉運(yùn)行危險(xiǎn)程序時的打開警告等等。已知樣本分析發(fā)現(xiàn)，攻擊者使用的挖礦木馬擁有多個礦池，開挖的山寨加密幣包括：門羅幣(XMR)、以太坊(ETH)、零幣(ZEC)等等，從礦池信息看，目前攻擊者已累積獲利達(dá)40余萬元人民幣。
　　5.應(yīng)用NSA武器攻擊，木馬、蠕蟲狼狽為奸
　　自從NSA武器庫工具泄露以來，一直倍受黑客垂青，該工具包經(jīng)過簡單的修改利用便可達(dá)到蠕蟲式傳播病毒的目的。2018年情報(bào)中心發(fā)現(xiàn)大量的挖礦木馬團(tuán)伙應(yīng)用NSA武器庫工具傳播挖礦木馬，這使挖礦木馬擁有蠕蟲病毒的傳播能力。
　　案例1：精通NSA十八般兵器的NSAFtpMiner感染約3萬臺電腦
　　2018年9月情報(bào)中心發(fā)現(xiàn)黑客通過1433端口爆破入侵SQL Server服務(wù)器，再植入遠(yuǎn)程控制木馬并安裝為系統(tǒng)服務(wù)，然后利用遠(yuǎn)程控制木馬進(jìn)一步加載挖礦木馬進(jìn)行挖礦。隨后，黑客還會下載NSA武器攻擊工具在內(nèi)網(wǎng)中攻擊擴(kuò)散，若攻擊成功，會繼續(xù)在內(nèi)網(wǎng)機(jī)器上安裝該遠(yuǎn)程控制木馬。
　　木馬加載的攻擊模塊幾乎使用了NSA武器庫中的十八般武器：
　　Eternalblue(永恒之藍(lán))、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊)等漏洞攻擊工具均被用來進(jìn)行內(nèi)網(wǎng)攻擊，攻擊主進(jìn)程偽裝成“Ftp系統(tǒng)核心服務(wù)”，還會利用FTP功能進(jìn)行內(nèi)網(wǎng)文件更新。其攻擊內(nèi)網(wǎng)機(jī)器后，植入遠(yuǎn)程控制木馬，并繼續(xù)從C2地址下載挖礦和攻擊模塊，進(jìn)行內(nèi)網(wǎng)擴(kuò)散感染。
　　案例2：NSABuffMiner挖礦木馬霸占某校園服務(wù)器，非法獲利115萬元
　　2018年9月情報(bào)中心接到用戶反饋，某學(xué)校內(nèi)網(wǎng)水卡管理服務(wù)器被植入名為rundllhost.exe的挖礦木馬。分析后發(fā)現(xiàn)該木馬是NSASrvanyMiner挖礦木馬的變種，此木馬同樣利用NSA武器工具在內(nèi)網(wǎng)攻擊傳播，而該服務(wù)器存在未修復(fù)的ms17-010漏洞，因此受到攻擊被利用挖礦。查詢NSABuffMiner挖礦木馬使用錢包信息，發(fā)現(xiàn)該錢包累計(jì)挖礦收益高達(dá)115萬元人民幣。
　　案例3：ZombieboyMiner(僵尸男孩礦工)控制7萬臺電腦挖門羅幣
　　2018年10月情報(bào)中心檢測到利用ZombieboyTools傳播的挖礦木馬家族最新活動。木馬對公開的黑客工具ZombieboyTools(集成NSA攻擊模塊)進(jìn)行修改，然后將其中的NSA攻擊模塊進(jìn)行打包利用，對公網(wǎng)以及內(nèi)網(wǎng)IP進(jìn)行攻擊，并在中招機(jī)器執(zhí)行Payload進(jìn)一步植入挖礦、RAT(遠(yuǎn)程訪問控制)木馬。
　　通過對比確認(rèn)從2017年9月以來多家廠商發(fā)布的Zombieboy攻擊事件以及友商發(fā)布的NSASrvanyMiner攻擊事件為同一團(tuán)伙，因此我們將該團(tuán)伙命名為ZombieboyMiner。情報(bào)中心監(jiān)測發(fā)現(xiàn)，ZombieboyMiner(僵尸男孩礦工)木馬出現(xiàn)近一年來，已感染超過7萬臺電腦，監(jiān)測數(shù)據(jù)表明該病毒非?；钴S。
　　6.同時針對多個平臺進(jìn)行攻擊、植入不同版本的挖礦木馬
　　2018年11月御見威脅情報(bào)中心發(fā)現(xiàn)一個雙平臺挖礦木馬，該木馬具有Windows和Android雙平臺版本，在中毒電腦和手機(jī)上運(yùn)行門羅幣挖礦程序。其Windows版本使用有合法數(shù)字簽名的文件借助游戲下載站傳播，木馬的Android版本則偽裝成Youtube視頻播放器，當(dāng)中毒用戶在手機(jī)上看Youtube視頻時，病毒會在后臺運(yùn)行門羅幣挖礦程序，從而令手機(jī)發(fā)熱增加，續(xù)航縮短。
　　2018年12月御見威脅情報(bào)中心通過蜜罐系統(tǒng)部發(fā)現(xiàn)了利用Aapche Struts2-045(CVE-2017-5638)漏洞攻擊Linux服務(wù)器,并通過計(jì)劃任務(wù)植入的挖礦木馬。并通過進(jìn)一步分析發(fā)現(xiàn)了針對Windows系統(tǒng)和Linux系統(tǒng)進(jìn)行攻擊的挖礦木馬，且不同平臺的挖礦木馬最終均使用了相同的礦池及錢包。
　　7.利用網(wǎng)頁掛馬，大范圍傳播
　　挖礦木馬的傳播渠道不限于通過偽裝成電腦軟件下載，還普遍采用了網(wǎng)頁掛馬這種最高效率的傳播方式，而以往利用網(wǎng)頁掛馬傳播最多的是盜號木馬。
　　案例1：廣告聯(lián)盟的分發(fā)系統(tǒng)被掛馬，傳播挖礦木馬等病毒
　　2018年4月12日，情報(bào)中心監(jiān)測到國內(nèi)一起大規(guī)模的網(wǎng)頁掛馬事件。當(dāng)天包括多款知名播放器軟件、視頻網(wǎng)站客戶端、常見的工具軟件在內(nèi)的50余款用戶量千萬級別的電腦軟件遭遇大規(guī)模網(wǎng)頁掛馬攻擊。
　　攻擊者將攻擊代碼通過某廣告聯(lián)盟的系統(tǒng)主動分發(fā)帶毒頁面，而這個帶毒頁面被內(nèi)嵌在50余款千萬級別用戶群的常用軟件中，這些用戶的電腦一開機(jī)會主動連網(wǎng)下載廣告資源，電腦會因此下載若干個病毒，其中就包括挖礦病毒。殺毒軟件當(dāng)天攔截超過20萬次病毒下載。
　　案例2：色情網(wǎng)站被掛馬，利用Flash高危安全漏洞植入挖礦木馬
　　此外，情報(bào)中心還監(jiān)測到一款挖礦病毒感染量異常增高，經(jīng)病毒溯源分析發(fā)現(xiàn)，受害者電腦上的挖礦木馬均來自某些打著“人體藝術(shù)”旗號的色情網(wǎng)站。
　　當(dāng)網(wǎng)民瀏覽這些網(wǎng)站時，由于部分系統(tǒng)存在Flash高危安全漏洞，打開網(wǎng)頁會立刻中毒。之后，受害者電腦便會運(yùn)行挖礦代碼，電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦，并以此牟利。
　　8.入侵控制企業(yè)服務(wù)器，組建僵尸網(wǎng)絡(luò)云上挖礦
　　隨著各種數(shù)字加密貨幣的挖礦難度越來越大，通過普通用戶的個人電腦難以實(shí)現(xiàn)利益最大化。而實(shí)施短時間內(nèi)的大范圍挖礦，除了網(wǎng)頁掛馬，最普遍的作法就是控制肉雞電腦組建僵尸網(wǎng)絡(luò)挖礦。服務(wù)器性能強(qiáng)、24小時在線的特征，吸引更多不法礦工將攻擊目標(biāo)轉(zhuǎn)向企業(yè)、政府機(jī)構(gòu)、事業(yè)單位的服務(wù)器實(shí)現(xiàn)云上挖礦。
　　情報(bào)中心就發(fā)現(xiàn)一個感染量驚人的黃金礦工“PhotoMiner木馬”，該木馬2016年首次被發(fā)現(xiàn)，該木馬通過入侵感染FTP服務(wù)器和SMB服務(wù)器，該木馬2016年首次被發(fā)現(xiàn)，通過入侵感染FTP服務(wù)器和SMB服務(wù)器暴力破解來擴(kuò)大傳播范圍。查詢木馬控制的門羅幣錢包地址，發(fā)現(xiàn)該木馬控制肉雞電腦挖到8萬枚門羅幣，挖礦累計(jì)收益達(dá)到驚人的8900萬人民幣，成為名副其實(shí)的“黃金礦工”。
　　9.網(wǎng)頁挖礦：在正常網(wǎng)頁插入挖礦代碼，利用瀏覽器挖礦
　　由于殺毒軟件的存在，挖礦木馬文件一落地到用戶電腦就可能被攔截，不利于擴(kuò)大挖礦規(guī)模，一部分攻擊者采用新的挖礦方式實(shí)施網(wǎng)頁挖礦。通過大規(guī)模入侵存在安全漏洞的網(wǎng)站，在網(wǎng)頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網(wǎng)頁，就會淪為礦工。
　　案例1：JS挖礦機(jī)利用廣告分發(fā)平臺，大規(guī)模攻擊江蘇湖南網(wǎng)民
　　2018年1月情報(bào)中心發(fā)現(xiàn)一廣告分發(fā)平臺被惡意嵌入挖礦JavaScript腳本，該挖礦攻擊在江蘇、湖南地區(qū)集中爆發(fā)。挖礦頁面單日訪問量近百萬次，中招機(jī)器CPU資源被占用90%以上，直接影響系統(tǒng)運(yùn)行。
　　此次惡意JavaScript代碼存放在國內(nèi)某電商平臺服務(wù)器上。頁面中導(dǎo)入惡意JS腳本為Coinhive JavaScript Miner代碼，該代碼基于CryptoNight挖礦算法，挖取數(shù)字加密貨幣—門羅幣。
　　此外，為了不被輕易發(fā)現(xiàn)，該挖礦腳本僅在非IE瀏覽器內(nèi)運(yùn)行，并通過Math.random()設(shè)置50%的啟動概率。這就意味著，當(dāng)用戶發(fā)現(xiàn)電腦卡頓、CPU占用率過高，懷疑有惡意程序運(yùn)行進(jìn)而進(jìn)行確認(rèn)時，挖礦環(huán)境并不一定重現(xiàn)。
　　案例2：C0594組織惡意挖礦攻擊，攻陷數(shù)千個網(wǎng)站植入JS挖礦腳本
　　2018年4月情報(bào)中心監(jiān)測發(fā)現(xiàn)，包括傳統(tǒng)企業(yè)、互聯(lián)網(wǎng)公司、學(xué)校和政府機(jī)構(gòu)等在內(nèi)的多個網(wǎng)站網(wǎng)頁被植入挖礦JS腳本。經(jīng)分析，該批站點(diǎn)中的核心JS文件被注入惡意代碼，通過請求同一個腳本文件(http[:]//a.c0594.com/?e=5)，加載另一個腳本文件(http[:]//a.c0594.com/?js=1)提供的CoinHive挖礦代碼，從而在用戶機(jī)器上執(zhí)行挖礦。
　　案例3：使用Drupal系統(tǒng)構(gòu)建的網(wǎng)站遭遇大規(guī)模JS挖礦攻擊

　　2018年5月情報(bào)中心監(jiān)測到，大批使用Drupal系統(tǒng)構(gòu)建的網(wǎng)站遭到JS挖礦攻擊。經(jīng)分析，受攻擊網(wǎng)站所使用的Drupal系統(tǒng)為存在CVE-2018-7600遠(yuǎn)程代碼執(zhí)行漏洞的較低版本。黑客利用Drupal系統(tǒng)漏洞將混淆后的挖礦JS注入到網(wǎng)站代碼中進(jìn)行挖礦。
　　網(wǎng)頁JS挖礦分布
　　2018年在感染JS挖礦程序的網(wǎng)站類型中，色情網(wǎng)站占比最高，其次是博彩網(wǎng)站、小說網(wǎng)站和視頻網(wǎng)站。其中用戶在網(wǎng)站上觀看視頻或閱讀時停留時間較長，黑客利用這些網(wǎng)站進(jìn)行挖礦，可以獲取持續(xù)的收益。
　　三、挖礦僵尸網(wǎng)絡(luò)
　　僵尸網(wǎng)絡(luò)通過多種攻擊方法傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，從而形成龐大的受控集群，接收同一個個木馬控制端的指令完成相應(yīng)的行為。挖礦木馬變得流行起來后，許多大型僵尸網(wǎng)絡(luò)也開始將挖礦作為其系統(tǒng)功能的一部分，從而更快地獲取收益。2018年活躍的挖礦僵尸網(wǎng)絡(luò)包括MyKings，WannaMiner等。
　　1.MyKings

　　Mykings僵尸網(wǎng)絡(luò)是目前發(fā)現(xiàn)的最復(fù)雜的僵尸網(wǎng)絡(luò)之一，其攻擊手段主要為“永恒之藍(lán)”漏洞利用，SQL Server密碼爆破等，并在失陷主機(jī)植入挖礦模塊，遠(yuǎn)程控制模塊，以及掃描攻擊模塊進(jìn)行蠕蟲式傳播。
　　2018年5月御見威脅情報(bào)中心監(jiān)測到MyKings僵尸網(wǎng)絡(luò)開始傳播新型挖礦木馬，該木馬利用Windows 系統(tǒng)下安裝程序制作程序NSIS的插件和腳本功能實(shí)現(xiàn)了挖礦木馬的執(zhí)行、更新和寫入啟動項(xiàng)，同時該木馬的NSIS腳本還具備通過SMB爆破進(jìn)行局域網(wǎng)傳播的能力。
　　2018年12月御見威脅情報(bào)中心發(fā)現(xiàn)Mykings僵尸網(wǎng)絡(luò)攻擊方式升級，在其攻擊模塊中集成永恒之藍(lán)漏洞、閉路電視物聯(lián)網(wǎng)設(shè)備漏洞、MySQL漏洞攻擊以及RDP爆破、Telnet爆破弱口令爆破等多種攻擊方式。并且首次發(fā)現(xiàn)其使用“暗云”木馬感染器感染機(jī)器MBR，感染后payload會下載配置文件執(zhí)行主頁鎖定和挖礦功能。
　　2.WannaMiner
　　2018年3月情報(bào)中心監(jiān)控到有攻擊者利用“永恒之藍(lán)”漏洞，傳播一種門羅幣挖礦木馬WannaMiner。WannaMiner木馬將染毒機(jī)器構(gòu)建成一個健壯的僵尸網(wǎng)絡(luò)，還支持內(nèi)網(wǎng)病毒自更新，并且以一種相對低調(diào)的獲利方式“挖礦”來長期潛伏。
　　盡管早在2017.5月WannaCry事件爆發(fā)時，很多機(jī)器已經(jīng)在安全軟件幫助下安裝了相應(yīng)補(bǔ)丁。但本次WannaMiner攻擊事件揭示，仍有部分企事業(yè)單位未安裝補(bǔ)丁或者部署防護(hù)類措施。由于其在內(nèi)網(wǎng)傳播過程中通過SMB進(jìn)行內(nèi)核攻擊，可能造成企業(yè)內(nèi)網(wǎng)大量機(jī)器出現(xiàn)藍(lán)屏現(xiàn)象。
　　2018年11月情報(bào)中心發(fā)現(xiàn)WannaMiner最新變種攻擊，該變種病毒利用永恒之藍(lán)漏洞在企業(yè)內(nèi)網(wǎng)快速傳播。變種的主要變化為，漏洞攻擊成功后釋放的母體文件由壓縮包變?yōu)樘厥飧袷降募用芪募?，因此木馬在使用該文件時由簡單的解壓變?yōu)榻饷?，特殊的加密方式給殺軟查殺造成了一定難度。
　　四、2018年挖礦木馬典型事件

　　五、幣圈疲軟，挖礦木馬還有未來嗎?
　　數(shù)字加密貨幣在2018年經(jīng)歷了持續(xù)暴跌，比特幣已從去年年底的2萬美元，跌至現(xiàn)在不足4000美元，通過“炒幣”暴富的希望似乎越來越渺茫，但這并沒有影響挖礦木馬的熱度，相對于投資礦機(jī)來說，控制肉雞電腦挖礦成本為0。
　　而從2018年的挖礦木馬事件中發(fā)現(xiàn)，挖礦木馬可選擇的幣種越來越多，設(shè)計(jì)越來越復(fù)雜，隱藏也越來越深，因此我們認(rèn)為2019年挖礦木馬仍會持續(xù)活躍，與殺毒軟件的對抗也會愈演愈烈。除非幣圈持續(xù)爆跌到一文不值，挖礦黑產(chǎn)才會有新的變化。
　　綜合分析，我們估計(jì)2019年，挖礦木馬產(chǎn)業(yè)會有以下特點(diǎn)：
　　(1)利用多種攻擊方法，短時間快速傳播
　　漏洞利用攻擊是木馬傳播的重要手段之一，挖礦木馬將受害者機(jī)器作為新的攻擊源，對系統(tǒng)中的其他機(jī)器進(jìn)行掃描攻擊，達(dá)到迅速傳播的效果，例如WannaMiner挖礦木馬的爆發(fā)，幾天之內(nèi)可以達(dá)到感染數(shù)萬臺設(shè)備，如何快速響應(yīng)和阻止此類木馬是安全廠商面臨的考驗(yàn)。
　　(2)針對服務(wù)器攻擊，企業(yè)用戶受威脅
　　企業(yè)設(shè)備上往往運(yùn)行著數(shù)量龐大的應(yīng)用程序，例如提供對外訪問的web服務(wù)，對企業(yè)內(nèi)部提供的遠(yuǎn)程登錄服務(wù)等，這些服務(wù)作為企業(yè)服務(wù)的一個窗口，也成為了不法份子瞄準(zhǔn)的弱點(diǎn)。一旦入侵內(nèi)網(wǎng)，再利用大量廉價的攻擊工具可以快速組成挖礦僵尸網(wǎng)絡(luò)。
　　例如對服務(wù)器遠(yuǎn)程登錄端口爆破，利用服務(wù)器組件攻擊傳播的挖礦木馬攻擊，未來需要更加有效的解決方案。
　　(3)隱藏技術(shù)更強(qiáng)，與安全軟件對抗愈加激烈
　　病毒發(fā)展至今，PC機(jī)上隱藏技術(shù)最強(qiáng)的無疑是Bootkit/Rootkit類病毒，這類木馬編寫復(fù)雜，各模塊設(shè)計(jì)精密，可直接感染磁盤引導(dǎo)區(qū)或系統(tǒng)內(nèi)核，其權(quán)限視角與殺軟平行，屬于頑固難清除的一類病毒，可以最大限度在受害電腦系統(tǒng)中存活。
　　例如在2018年12月發(fā)現(xiàn)的Mykings木馬最新變種，加入了“暗云”MBR感染功能，通過修改系統(tǒng)系統(tǒng)啟動引導(dǎo)扇區(qū)加載挖礦模塊，使得其難以徹底清除。2019年數(shù)字加密貨幣安全形勢依然嚴(yán)峻，挖礦木馬的隱藏對抗或?qū)⒏蛹ち摇?br/>　　六、針對挖礦木馬的應(yīng)對措施
　　1、 不要下載來歷不明的軟件，謹(jǐn)慎使用破解工具、游戲輔助工具。
　　2、 及時安裝系統(tǒng)補(bǔ)丁，特別是微軟發(fā)布的高危漏洞補(bǔ)丁。
　　3、 服務(wù)器使用安全的密碼策略 ，使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解。
　　4、 企業(yè)用戶及時修復(fù)服務(wù)器組件漏洞，包括但不限于以下類型：
　　Apache Struts2漏洞、WebLogic XMLDecoder反序列化漏洞、Drupal的遠(yuǎn)程任意代碼執(zhí)行漏洞、JBoss反序列化命令執(zhí)行漏洞、Couchdb的組合漏洞、Redis未授權(quán)訪問漏洞、Hadoop未授權(quán)訪問漏洞;
　　5、監(jiān)測設(shè)備的CPU、GPU占用情況，發(fā)現(xiàn)異常程序及時清除，部署更完善的安全防御系統(tǒng)。個人電腦使用殺毒軟件仍是明智之舉。
病毒知識相關(guān)文章：

1.電腦病毒知識

2.計(jì)算機(jī)病毒知識

3.電腦病毒防范常識

4.有關(guān)電腦病毒和進(jìn)程的七點(diǎn)知識

5.殺死電腦病毒

6.世界上最神秘的病毒有哪些