潘 雪，杨英奎，刘春雪

（1.黑龙江省生态气象中心,黑龙江 哈尔滨 150030；2.黑龙江省气象数据中心，黑龙江 哈尔滨 150030）

1 引言

随着社会的发展，互联网技术越来越普及，在新兴技术不断出现的同时， 针对新技术的攻击手段也频发、升级和进化，借助于各种手段实施网络安全威胁的介质、方式和载体更是变化莫测，网络安全形势始终不容乐观。 近年来，伴随着加密货币交易市场的发展，以及加密货币的价值不断提升，恶意挖矿攻击已经成为影响最为广泛的一类网络安全威胁， 影响着各大国家机关和企事业单位以及个人用户。

2 挖矿病毒

2.1 挖矿

挖矿本身并不是一种恶意行为， 对于比特币挖矿来说，它是一种计算行为，即利用硬件资源在比特币网络中进行科学计算， 通过计算得出的结果来获得相应的报酬，此报酬即比特币。 随着电子货币的种类越来越多，挖矿的币种也在不断拓展，挖矿的形式和算法也在不断演进。 最初， 挖矿行为主要利用CPU、GPU 等资源进行， 这些硬件资源的成本比较低。 后来，随着加密货币市场逐渐扩大，人们已经不满足于利用这些硬件资源进行挖矿， 而是开始设计出各种专业的挖矿工具， 比如可编程阵列等进行挖矿，这种专业的挖矿工具大幅度提升了挖矿速度[1-3]。

2.2 恶意挖矿

恶意挖矿也叫加密劫持。 加密劫持是一种在未经其同意或不知情的情况下，使用人类设备（电脑、手机、平板或者服务器）来秘密开采受害人资源从而获取加密货币的行为。 攻击者没有建立专用的加密矿计算机， 而是使用加密劫持从受害者的设备中窃取计算资源。 当所有这些资源加在一起时，攻击者就可以与复杂的加密采矿操作进行竞争， 而无须付出昂贵的开销[4-8]。

当前恶意挖矿程序主要的形态分为两种： 第一种是基于开源的挖矿代码的定制化挖矿程序，如XMRig, CNRig, XMR-Stak。 其中XMRig 是一个开源的跨平台的门罗算法挖矿项目， 其主要针对CPU 挖矿，并支持38 种以上的币种。 由于其开源，跨平台和挖矿币种类别丰富， 它已经成为各类挖矿程序的核心。 第二种是嵌入恶意JS 脚本的挖矿网站。 网站被植入恶意挖矿脚本后， 会利用浏览该网站的用户计算机资源进行挖矿获利。 最常见的挖矿网站家族有Coinhive,Jsecoin 等[9]。

3 病毒分析与处理

以无文件挖矿病毒案例， 介绍病毒分析处理过程。

3.1 中毒现象

服务器受无文件挖矿病毒侵害表象为服务器操作卡顿严重，CPU 利用率高达100%；出现多个PowerShell 进程，且手动结束进程后会自动恢复；常规杀毒软件无任何安全提醒，使用HIPS 杀毒软件可追踪异常操作。

3.2 分析处理过程

(1)经检查发现CPU 资源占用过多，对进程逐一排查确定是由于PowerShell 进程导致。 在任务管理器内对其手动结束进程， 等待片刻后PowerShell 进程又再次出现，因此判断其存在自动启动的情况。 鉴于处理期间未重启电脑， 故检查任务计划程序是否正常。 依次点击开始- 所有程序- 管理工具-任务计划程序， 在右侧的操作列表中发现系统已禁用所有任务历史记录， 并在左侧的任务计划程序中出现多个异常命名的计划任务。 点击顶部的操作显示所有正在运行任务， 查看当前计划任务中的运行情况。

(2)经排查确认在任务计划程序列表内出现6 个异常命名的计划任务， 安全选项设定为不管用户是否登录都要运行计划任务。 具体操作为启动Power-Shell 程序并执行命令， 触发器均为触发后无限期间隔1 小时运行。 逐步排查确认全部异常的计划任务列表， 并确认它们的创建起止时间：2020-04-03 16:52:00 - 2020-04-03 16:53:31 为同一时段。 对上述异常计划任务进行导出留存， 导出完成后对其进行删除处理。

(3)删除完成后再次打开任务管理器，对异常的PowerShell 进程进行结束进程操作， 再次检查CPU使用率时确认已恢复正常状态。 通过上述排查确认，该行为通过计划任务执行PowerShell 脚本实现无文件挖矿。

(4)对已获取的6 个.xml 格式的计划任务文件进行分析汇总， 除了在计划任务创建时间以及计划任务启动时间略有差异外， 均使用PowerShell 作为启动程序，执行不同的命令。 针对6 条获取的PowerShell 执行命令进行分析汇总， 可判断出其通过hosts 文件将域名解析至指定的IP 地址。 编辑hosts文 件 确 认 文 件 已 被 修 改， 仅 留 下66.42.43.37 yQtl2uoaKi.jp 一条记录。

因此获知PowerShell 执行命令从下述的6 个地址内获取执行脚本：

http://t.tr2q.com/x.jsp?eb_20200403

http://t.awcna.com/x.jsp?eb_20200403

http://t.amynx.com/x.jsp?eb_20200403

http://BnbqKXaeotF.cn/w.jsp?eb_20200403

http://yQtl2uoaKi.jp/w.jsp?eb_20200403

http://kwC0HVZGv.kr/w.jsp?eb_20200403

通过Ping 和Whios 确认， tr2q.com、awcna.com、amynx.com 三个域名真实存在，但已禁Ping 。而另外三个域名均是虚假地址， 使用Hosts 地址表内的66.42.43.37 IP 进行通信，通过IP 查解析域名获知该IP 绑定过域名t.awcna.com 和p.awcna.com 与上述结论得到证实， 因此推断上述地址实质上均是通过66.42.43.37 下载同一文件， 拦截该地址即可阻断下载。

(5)请求上述地址即可获得x.jsp 文件，从内容看代码已进行加密混淆。 从攻击过程上看可能为通过系统漏洞攻击进入计算机系统， 成功入侵目标计算机后， 通过执行PowerShell 加载下一阶段的后门或木马。

无文件挖矿病毒利用永恒之蓝等漏洞进行传播，可对弱命令的RDP 进行爆破攻击，了解其传播方式后关闭相应端口，对系统进行加固和防护。 具体操作为： 启用防火墙添加135、137、138、139、445、65529 TCP/UDP 出入站特定端口； 检查计划任务中的异常计划任务并删除， 结束进程中PowerShell 全部进程，更新系统安装微软官方提供的漏洞补丁；安装HIPS 安全软件（火绒安全），对系统进行防护，开启注册表防护、以及敏感动作防护，拦截执行Power-Shell 可疑操作。

4 结论

本文介绍了挖矿病毒， 并通过实例对挖矿病毒的分析与处理过程进行了详细的描述， 得出了针对挖矿病毒的防御策略。 本文介绍的方法可为分析处理挖矿病毒提供参考。