2018年 Windows 服务器挖矿木马总结报告 2019年1月11日 摘要 2018年，挖矿木马已经成为 Windows 服务器遭遇的最严重的安全威胁之一。 这一年， 在挖矿木马攻击趋势由爆发式增长逐渐转为平稳发展的同时，挖矿木马攻击技术提升明显， 恶意挖矿产业也趋于成熟， 恶意挖矿家族通过相互之间的合作 使受害计算机和网络设备的价 值被更大程度压榨，合作带来的技术升级也给安全从业者带来更大挑战。 2019年，挖矿木 马攻击将 继续保持平稳，但黑产家族间的合作将更加普遍， “闷声发大财”可能是新一年挖 矿木马的主要目标。 关键词： 挖矿木马、 Windows 服务器、恶意攻击 目录 前言 ................................ ................................ ................................ ................................ ...... 1 第一章 2018年攻击趋势概览 ................................ ................................ ............................ 2 第二章 2018年挖矿木马详 解 ................................ ................................ ............................ 5 一、挖矿木马攻击目标分布 ................................ ................................ ............................ 5 二、挖矿木马使用漏洞一览 ................................ ................................ ............................ 5 三、挖矿木马使用的攻击技术 ................................ ................................ ........................ 6 （一）横向移动 ................................ ................................ ................................ ........... 6 （二） Living off the land ................................ ................................ ............................. 7 （三） Fileless ................................ ................................ ................................ .............. 8 （四）代码混淆技术 ................................ ................................ ................................ ... 9 四、挖矿木马收益分析及未来获利方式预测 ................................ ............................... 10 第三章 2018年挖矿木马家族典型 ................................ ................................ ................... 14 一、 WannaMine （GhostMiner 、PowerGhost ） ................................ ............................ 14 二、 Mykings（隐匿者） ................................ ................................ ............................... 16 三、“8220”组织 ................................ ................................ ................................ ......... 18 四、 bulehero ................................ ................................ ................................ .................. 20 五、 MassMiner ................................ ................................ ................................ .............. 22 六、 ArcGISMiner ................................ ................................ ................................ ........... 24 第四章 总结 ................................ ................................ ................................ ...................... 25 参考文章 ................................ ................................ ................................ ............................ 26 1 前言 挖矿木马是一类通过入侵计算机系统并植入挖矿机赚取加密数字货币获利的木马， 被植 入挖矿木马的计算机会出现 CPU使用率飙升、系统卡顿、部分服务无法正常使用等情况。 挖矿木马最早在 2012年出现，并在 2017年开始大量传播。 2018年，挖矿木马已经成为服务器遭遇的最严重的安全威胁之一。 360互联网安全中心 对挖矿木马进行了深入研究分析和长期攻防对抗， 在这一年， 360安全卫士平均每日拦截针 对Windows 服务器的挖矿木马攻击超过十万次，时刻守卫 Windows 服务器安全。 本文将依 据我们掌握的数据， 总结 2018年Windows 服务器遭遇的挖矿木马威胁， 并对 2019年Windows 服务器下挖矿木马发展趋势进行分析评估（注：下文提到的 “挖矿木马 ”均指针对 Windows 服务器的挖矿木马） 。 2 第一章 2018年攻击趋势概览 2018年， Windows 服务器遭到的挖矿木马攻击呈现先扬后抑再扬的趋势。 2018年上半 年，针对 Windows 服务器的挖矿木马呈现稳步上升趋势 ，并在 2018年7月左右达到顶峰。 之后挖矿木马攻击 强度减弱， 部分挖矿木马家族更新停滞， 直到 2018年12月，WannaMine 、 Mykings 等大型挖矿僵尸网络再次发起大规模攻击，针对 Windows 服务器的挖矿木马攻击 才再次出现上升趋势。 2018年针对 Windows 服务器的挖矿木马攻击趋势如图 1所示。 图1 2018年针对 Windows 服务器的挖矿木马攻击趋势 在2018年初，挖矿木马攻击的上升趋势是 2017年末挖矿木马爆发的延续。 2017年12 月，“8220”组织使用当时还是 0day状态的 Weblogic 反序列化漏洞 （CVE -2017 -10271）入侵 服务器并植入挖矿木马[1]，引起一波不小的轰动 。之后，更多黑产从业者将目光投向服务器 挖矿领域。 据360互联网安全中心统计， 2018年上半年针对 Windows 服务器的挖矿木马家 族呈逐月上升趋势，最高时每月有 20余个成规模的挖矿木马家族。 3 图2 2018年针对 Windows 服务器的挖矿木马家族数量变化 不过到了 2018年下半年， 挖矿攻击趋势有所下降， 挖矿木马家族数量也 仅仅保持稳定， 不再呈现类似于上半年的增长趋势。出现这种情况的 原因之一 ，在于 2018年下半年披露的 Web应用远程代码执行漏洞相比较上半年要少得多， 挖矿木马缺少新的攻击入口； 另外由 于虚拟货币的 波动， 下半年针对服务器的挖矿木马家族格局基本定型， 没有新的大家族产生 。 从图 2可以看出 2018年下半年成规模挖矿木马家族数量一直保持 30个左右的， 并未出现太 大增长。 直到 2018年年底