如果您的计算机正在挖矿，请保持警惕！

注意力！

随着加密货币市值的飙升，恶意挖矿软件在全球肆虐比特币挖矿机采用计算机的，打击此类挖矿活动成为近期整治的重点。 去年以来，我国虚拟货币监管政策不断加大，清算“挖矿”活动和禁止相关经营活动双管齐下。 发改委等11部门印发《关于整治虚拟货币“挖矿”活动的通知》，要求加强对虚拟货币“挖矿”活动上下游全产业链监管，严厉查处“挖矿”行为》参与国有单位机房活动。

接二连三的重拳罢工，体现了国家整顿“矿业”的决心。 那么，一旦参与“挖矿”活动，或者被挖矿木马中招后，企业会有多大的损失呢？

什么是“挖矿”木马

虚拟货币“挖矿”是指通过特定算法计算得到虚拟加密数字货币，如比特币、以太坊、门罗币、EOS等。

由于虚拟货币“挖矿”需要计算机高速运算，消耗大量资源，一些不法分子通过植入挖矿木马的方式控制受害人的电脑进行虚拟货币“挖矿”。 与网络上的其他黑产相比，挖矿木马的收益非常高，利润极高，挖矿木马攻击数量呈爆发式增长。

挖矿木马的危害

1. 失去计算能力和巨大的能源成本

“挖矿”需要庞大的计算系统，会导致机构的终端、服务器、网络设备等卡顿，CPU爆满，直接影响企业的正常业务往来。 不仅企业整体算力大幅降低，还要支付额外的电费和运维成本。 数据显示，截至2020年，全球比特币“挖矿”年耗电量约为149.37太瓦时（1太瓦时为10亿千瓦时），已经超过马来西亚、乌克兰、瑞典的耗电量。接近用电量排名第25位的越南。

2、点名举报极有可能被“清盘”

随着一系列整治文件和对虚拟货币“挖矿”活动的要求出台，各省市各地区相关单位开始积极响应并开展行动。 国内江苏、浙江、广东等省份相继推出虚拟货币“挖矿”活动专项。 整治。 而一旦被“告知”，如果“屡教不改”，发电公司有权对你“断电”。

3.数据泄露和多次攻击

一些“挖矿”主机也可能被植入勒索软件、携带APT攻击代码等，导致机构重要数据泄露，或者黑客利用已经被控制的机器作为跳板，继续渗透内网或攻击其他目标，导致更严重的网络安全攻击事件发生。

挖矿木马全面进化

通过对近年来重要远程控制木马样本分析发现，挖矿木马已经全面进化，专业攻击团队的网络武器级别已经成为信息安全的最大威胁之一。 发现和防御挖矿木马的手段不再是单一的通过网络协议检测来实现。

首先是数量。 目前全球有2700万个挖矿木马，而且这个数字还在以每周2万个的速度递增。 其次，不仅老病毒更新频繁，还出现了一批新的挖矿木马，包括通过WMI无文件挖矿实现双平台感染的病毒，以及利用“新冠病毒”邮件的LemonDuck无文件挖矿木马借助“海啸”僵尸网络等传播、挖掘发起DDoS攻击的特洛伊木马。

挖矿木马逐渐进化，但近一半人对挖矿木马的认知仍然是“占用本地资源挖矿盈利的程序，缺乏破坏性”。 然而，不少挖矿木马变种已经具备团伙作案、持久性、隐蔽性、对抗性、跨平台等特点，并通过多种手段规避流量监控和主机安全检测。

如何检测

1.系统调查

挖矿木马会占用CPU进行超频计算，从而占用主机大量的CPU资源，严重影响服务器上其他应用程序的正常运行。 黑客为了获取更多的算力资源，一般会对整个网络进行无差别扫描，同时使用SSH爆破、漏洞利用等手段对主机进行攻击。 因此可以从网络杀伤链上进行分解，详解大部分挖矿木马的攻击方式。

挖矿木马明显的行为特征是大量占用CPU和GPU资源，主要包括：CPU和GPU占用率高、响应慢、死机或频繁重启、系统过热、异常网络活动（例如连接挖矿相关网站或IP）地址）。 因此，其检测可以部署在网络侧和主机侧，采用基于黑名单的检测技术、基于恶意行为的检测技术、基于机器学习的检测技术来实现。

2. 网络行为调查

01

重要的辅助站点

通过与威胁情报指标的碰撞，定位流量消息中的挖矿威胁源，根据相关信息进行多方验证，准确定位矿池服务器，追溯外部矿池地址的来源； 跟踪可能被植入挖矿木马病毒等的主机。通过定位挖矿威胁源，进行持续监控和抓包比特币挖矿机采用计算机的，获取主机与矿池通信的流量数据，用于后续详细分析。

1）、国外知名安全站点，需要翻墙，可以检测文件MD5、IP、域名、URL是否恶意，也可以上传文件进行病毒扫描。 2) 国内威胁情报站点，可查看MD5、IP、域名、URL等文件是否存在恶意挖矿。 3)、国内站点记录查询，国内所有有企业备案的站点均可认为是可信站点. 4）谷歌、百度等搜索引擎，输入文件MD5/IP/域名，有时可以查询到相应的病毒信息。

02

网络连接故障排除

使用命令 netstat -ano 查看当前网络连接，检查可疑服务、端口和外部 IP。 如果netstat定位的pid有问题，可以使用tasklist命令进一步追踪可疑程序。

03

流量分析

流量分析可以使用Wireshark主要分析当前主机访问了哪些域名、URL、服务，或者哪些外网IP在访问本地主机的哪些端口、服务、目录，使用了什么协议等。 Stratum（STM）协议和GetBlockTemplate（GBT）是目前主流的矿机与矿池之间的TCP通信协议。 通过检测此类协议为流量层，是检测挖矿行为的主要方式之一。 STM协议中的主要特征字段包括id、method、jsonrpc、params、result、login、pass、agent、mining.submit等，通过综合检测特定通信数据包对应的特征串，可以发现挖矿行为。在场。 Web挖掘行为也可以通过检测coinhive.min.js等特征字符串来发现。

以Monero为例，利用Suricata检测其流量特征，进而发现流量中的挖矿行为。 Monero使用Cryptonight算法，公开的程序包括xmr-stak、xmrig、claymore等关键词，分析检索主要流量请求中的特征行为。

04

漏洞和补丁信息

使用命令systeminfo查看系统版本信息和补丁信息，确认当前系统是否存在漏洞，是否打了相应的补丁。

可以重点关注远程命令执行漏洞，如MS08-067、MS09-001、MS17-010（永恒之蓝）等。

3. 可疑进程分析

01

进程名称异常和伪装

进程名称异常是指某些进程的名称是随机生成的，因此具有很高的可疑性。 例如：在被感染的环境下，打开任务管理器，发现大量随机名称的进程，如hrlB3.tmp、hrlCC.tmp、hrlCD.tmp、hrlC3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6 .tmp，hrlEE.tmp。 不仅文件后缀不是典型的exe，名字也是随机生成的，肯定是异常进程。

进程名伪装是指将某个进程的名称伪装成与系统进程名称相似的名称。 目的是为了混淆视听，让没有经验或盲目的管理员以为是正常的进程或文件。

02

过程信息故障排除

推荐使用微软官方的进程监控工具ProcessExplorer查看进程信息。 PorcessExplorer 会显示进程打开或加载了哪些句柄（handle）或动态链接库（Dlls）。 ProcessExplorer的显示区域由两个子窗口组成。 上方的窗口显示了当前系统的活动进程以及这些进程属于哪个用户。 同时上层窗口根据ProcessExplorer的显示“模式”决定下层窗口显示的内容：如果选择句柄模式，则上层窗口将显示被选中进程打开的句柄底部窗口； 如果选择Dll模式，那么你会看到进程加载的动态链接库文件dlls和内存映射文件。 ProcessExplorer 还具有强大的搜索功能，可帮助您找出特定句柄或 dll 正在被哪个进程加载。 ProcessExplorer 的功能使其非常适合跟踪 Dll 版本问题或处理泄漏，并向用户展示 Windows 系统和应用程序的内部工作方式。”

03

模块空间检查

发现可疑进程并不代表该进程对应的exe文件就是病毒。 某些病毒可能会将恶意 dll 注入系统进程。 对于可疑进程，需要检查该进程加载的所有模块。 例如使用ProcessExplorer，双击可疑进程可以查看加载的模块，如下：

4.启动调查项目

01

检查登录启动项

黑客为了不让病毒开机、登录或定时启动，通常都有相应的启动项，因此需要找出异常的启动项并删除。 查看启动项，这里有一个很好用的工具，工具名Autoruns官网点击运行Autoruns，首先查看Logon（登录启动项），如下图：

检查登录时是否启动了异常程序。

02

服务启动项

该病毒还可能通过创建服务启动项而长期运行。 点击Autoruns的Services功能，如下图，查看是否有异常的服务启动项。

03

定时或计划任务

如果有定时或计划任务启动项，也要勾选（点击Autoruns的计划任务功能）。 通常此项为空白，如下图所示。 如果有内容，则需要排查确认是否是某些应用程序或服务创建了这些启动项。

结尾