挖矿病毒浅析

在此前我们分析了勒索病毒，相信通过上一篇文章的介绍对于勒索病毒大家会有了一定的了解，那么今天我们来聊一下勒索病毒的表亲——挖矿病毒。
什么是挖矿病毒
何为挖矿病毒？大家都知道比特币是用计算力（POW协议）来达成共识的。达成共识需要依靠节点计算力，当然，达成后也会有对应奖励。这里就促成了一种新的职业：矿工。他们通过利用手中的计算资源，来帮助交易达成共识，从而赚取奖励。所谓的挖矿病毒，也就是黑客偷偷利用漏洞盗取别人计算力来挖矿获得收益的病毒。
为什么说挖矿病毒是勒索病毒的表亲呢？因为他们在以下两个方面有联系：
①与以比特币为代表的虚拟货币有关。二者获得非法收益都需要通过虚拟货币这一中间人。在虚拟货币出现之前，病毒在入侵计算机后也可以对计算机实施加密，但攻击者没有一个可以匿名的收款渠道，而虚拟货币提供了这一渠道。而挖矿病毒则更加直接，它的目标就是绑架他人的计算力来获得虚拟货币的报酬。
②二者可以相互转化。这两种病毒在某些情况下可以直接相互转化。2017年比特币大涨，就导致挖矿得到的利益非常高，所以很多勒索病毒转为挖矿病毒，从而挖矿病毒非常流行。而等到比特币大跌的2018年，挖矿病毒则数量大减，很多又改头换面变成勒索病毒了
接下来我们来简单介绍挖矿病毒的攻击流程。攻击方式
与勒索病毒一样，挖矿病毒想要达到挖矿这一目的首先需要传播，感染受害者计算机，二者的传播途径是类似的。
未修复的N day漏洞
未修复的N day漏洞是挖矿病毒最主要的传播方式，黑客会利用最常见的N day漏洞，或者还未被发现的0 day漏洞来传播挖矿病毒。不过，0 day漏洞的利用通常较少，因为挖矿病毒是“走量”的，对于控制的目标没有特别要求，往往能用就好，0 day漏洞用到这里反而是“杀鸡用宰牛刀”，大材小用了。

钓鱼邮件
黑客利用社会工程学构造各种形式的钓鱼邮件：
①批量向用户发送小说、色情等垃圾邮件；
②定向针对企业的客服发送反馈邮件、针对人事部门发送简历；
③针对某个企业组织发送携带病毒的Word，Excel，PDF文档。

诱导用户点击执行邮件中的附件，达到触发挖矿程序的目的。

捆绑软件
破解第三方软件，在软件文件中植入自身的恶意程序，用户下载安装后触发。或者一些挖矿病毒的传播商会主动发布一些假冒正规软件。此前就有报道指出多款破解软件与破解激活工具被病毒制作者修改并嵌入了挖矿程序。
这种攻击方式也出现在高级持续性威胁（APT）里面，典型的DarkHotal（黑店，疑似来自朝鲜半岛的APT组织）就因为经常使用此种方式，被称为“寄生兽”。

渗透攻击
人工渗透并取得权限也是一种传播病毒的方式，但这种方式的效率并不高。一般攻击者为了节约时间并不会选择人工渗透入侵，大多数会选择利用自动化攻击工具。当然也不能排除攻击者可能会对具有较高价值的目标采取人工入侵的方式植入病毒。
运行过程
挖矿病毒感染了计算机后，就会进行以下步骤：挖矿、维持运行、横向传播。不过，这三步并无必然的先后联系，也有可能会并行开展。
挖矿
通常挖矿病毒自身是不携带挖矿程序的，只是一个入侵脚本以及下载并执行挖矿程序的合集。在成功入侵到目标计算机中后，病毒会从事先指定的地址上下载挖矿程序，开始挖矿。为了保证挖矿的效率，一些挖矿病毒会关闭占用资源的进程，关闭杀软，并且还会“自相残杀”——检索并关闭其他挖矿程序。
维持运行
挖矿这种行为是非常消耗计算机资源的。当你发现你的电脑变得卡顿也许会下意识地想“我的电脑可能运行太久了，冗余数据过多”，可能会采取关闭高占用进程、重启计算机的操作。这样有可能关闭挖矿程序，所以挖矿病毒的作者还会想方设法维持挖矿程序在被入侵的计算机持续地运行。

首先病毒必然会添加自启动，以保证挖矿程序在被杀死或重启后启动新的挖矿程序，目前的挖矿病毒非常流行使用“套娃”方式进行自启。
Tips：套娃是指使用注入驱动——保护进程——挖矿程序——保护进程这样的循环的方式阻止用户杀死目标程序的技术手段。
病毒会在系统目录释放自启程序或是直接注入自启的系统程序，完成原始控制程序的自启。之后原始控制程序会注册其他自启程序用于维持挖矿程序持续运行，可能会嵌套多层以减少自身被查杀的概率。且病毒会对源程序进行自保护，只要源文件不被删除就可以持续启动挖矿脚本。

典型挖矿病毒的运作流程
横向传播

我们刚刚提到过：挖矿病毒是通过“走量”获取利益的。除了之前介绍的传播手段，利用已经感染的计算机进行传播也是常用的方式。目前的计算机除了家用台式机外其余的计算机一般都是一同处于一个局域网络之中，通过局域网感染其他计算机还可以提高病毒的生存能力。而个人笔记本因为经常移动会接入各种不同的网络，也会成为挖矿病毒传播的理想载体。所以当一台计算机出现挖矿病毒时，应对网络中所有的计算机进行排查，在排查结束前不应接入新的设备，包括移动存储设备等。
病毒变化
“改行”的勒索病毒
目前勒索病毒稍作修改成为挖矿病毒的情况变得越来越常见了，这与许多受害者不愿向勒索病毒制作者妥协有关。例如，安全人员研究发现，“Satan”勒索病毒加密算法存在“缺陷”，可以被解密。因此，在病毒作者释放出新型不可解密变种前，原有“Satan”被修改成了挖矿病毒——虽然加密存在问题，但进行挖矿仍然可以给病毒作者带来收益。
挖矿病毒的“群魔乱舞”
挖矿病毒与勒索病毒最大的区别在于自保护机制。勒索病毒只要完成了加密并不会在意自身被查杀的问题，甚至为了保护病毒样本许多勒索病毒完成加密与横向传播后会删除自身。而挖矿病毒则需要保护自身尽可能长时间地留存在计算机上，以获得更多收益。
常见的自保护手段在上文中我们进行了简单的介绍，

而还有一部分病毒作者则将目标转向了日常应用——浏览器。他们会利用跨站点脚本注入漏洞（XSS），将恶意JavaScript代码植入目标站点。用户访问被攻击的站点触发XSS漏洞，就会执行挖矿代码。为了避过检测，许多作者会低调行事，将挖矿程序的资源占用率设置的较低，比如只占CPU 30% 。这样并不会对用户的日常使用造成影响，而杀软防火墙等对于合法的站点难以做出有效检测，这种攻击方式非常难以察觉。除此之外，此类挖矿病毒还会创建隐藏的浏览器窗口挖矿，所以即便用户关闭了浏览器，只要计算机没有关闭仍然可以进行挖矿。

浏览器挖矿病毒运作流程

简单的排查应对
挖矿病毒会大量消耗计算机资源，在生产环境中则会给性能带来巨大的负担，影响生产效率。由于挖矿是一致与算力紧密相连的活动，所以排查计算机的资源占用率是最普遍也是最有效的自查方式。对于浏览器型挖矿病毒，可以观察进入特定站点是否会发生资源占用的明显变化，而部分病毒会设置定时任务根据服务器所在时区在夜晚进行挖矿，需要定时对服务器进行检测才能发现。此外做好一般性的防病毒措施防止感染，避免亡羊补牢则是另一种有效策略。

往期安全文章：

勒索病毒运行过程浅析

共识协议安全问题

不严谨的业务策略

2019年十大勒索病毒事件盘点

失效的权限控制