周 成 胜，董 伟，崔 枭 飞，葛 悦 涛

(1.中国信息通信研究院 安全研究所，北京 100191；2.工业互联网安全技术试验与测评工业和信息化部重点实验室，北京 100191；3.华北计算机系统工程研究所，北京100083)

0 引言

近年来，随着比特币的发展和经济价值不断扩大，同类型的虚拟货币开始在互联网中不断发展，如以太币、门罗币、莱特币等。这类虚拟货币并非由特定的货币发行机构发行，而是依据特定算法通过大量运算所得[1]。矿工通过矿机等设备运行挖矿程序，利用设备的CPU、GPU来获取虚拟货币，通过算力去获取虚拟货币的过程称为“挖矿”。

高昂的挖矿成本导致一些不法分子通过网络攻击手段将矿机程序植入被控制的主机中，利用受害者主机算力进行挖矿，从而获取非法经济利益。这类在用户不知情的情况下植入受害者主机的挖矿程序称为挖矿木马。

挖矿木马程序会利用被感染主机的CPU、GPU等算力资源进行挖矿活动，也可利用感染主机的硬盘资源进行挖矿，占用大量被感染主机的硬件资源，此时被感染主机成为了攻击者所掌握的“矿机”。挖矿行为会消耗大量感染主机的算力资源，致使感染主机的CPU、GPU等硬件资源使用率过高，从而使感染主机运行变慢，甚至无法使用，进而影响业务的正常运行，带来不可估量的损失。

当前国内外围绕虚拟货币挖矿木马行为的相关研究实践较少。史博轩等人提出了一种基于网络流量的挖矿行为检测识别模型和多维度挖矿指纹特征提取方法，通过对Stratum、Getwork等矿池协议的指令特征提取分析，实现对挖矿行为的自动检测识别，并提炼出多维度的挖矿指纹特征，包括挖矿指令、矿池币种、软件型号、挖矿账号、算力、能耗等信息[2]。辛毅等人分析挖矿木马的入侵方式、传播途径、行为特征，基于控制机制对挖矿木马相关技术进行总结，提出从网络侧和主机侧进行检测的方案[3]。黄子依等人设计了基于多特征识别的恶意挖矿网页检测模型和多层级证据保存的恶意挖矿网页取证方法，从平面层、代码层、网络数据层三个维度对恶意挖矿网页数据进行固定，获取完整、合法、可信的证据，生成取证报告，满足公安机关对恶意挖矿网页检测和取证的需求[4]。程叶霞等人针对强制挖矿详细介绍与分析了其概念及攻击形势、攻击技术手段及流程、检测方法、攻击案例、安全防护建议等，从企业层面提出了区块链应用及安全建议[5]。赵文军探索防范及处理挖矿病毒的方法，结合服务器感染挖矿病毒的实际案例，通过逐一的诊断与排查，最终解决服务器因感染挖矿病毒而产生的故障，为防范与解决挖矿病毒提供思路[6]。

本文基于企事业单位出入口流量开展挖矿木马行为监测分析，可在传播、潜伏、横向扩散等阶段进行预警，提早发现威胁，帮助政企单位及时发现挖矿木马并降低影响，减少损失。

1 挖矿木马攻击路径分析

挖矿木马通过漏洞利用、暴力破解、钓鱼欺诈、恶意链接等方式，与僵尸网络、黑产结合，获取受害者主机权限，并在被感染的主机上持久化驻留，利用被感染主机的算力资源进行挖矿活动，从而获取非法收益；部分挖矿木马还具备横向传播的特点，将被感染主机作为跳板，进一步入侵其他内网主机，扩散传播挖矿木马程序或进行其他恶意网络攻击行为。

以驱动人生挖矿木马为例说明黑客攻击流程，该木马主要通过“人生日历”等驱动人生系列产品升级组件下发，感染后通过添加计划任务、修改注册表、添加启动项等方式维持自身权限，开启特定端口，标记主机已经被感染。同时通过抓取本地主机密码来猜解其他主机登录密码，利用永恒之蓝、SMB弱口令、MSSQL数据库弱口令等漏洞进行横向传播，具体过程如图1所示。

图1 驱动人生挖矿活动过程示意图

通过分析，挖矿木马的攻击行为可分为以下四个阶段。

1.1 利用漏洞、暴力破解等方式获取主机权限

攻击者上传挖矿木马程序，必须先要获得相对应的权限。攻击者可利用未授权访问漏洞、服务器系统组件漏洞、Web服务器远程代码执行漏洞等主机漏洞或弱口令爆破获取必要的权限。

1.2 上传挖矿木马，启动木马程序

在攻击者获取到必要权限之后，上传挖矿木马到受害主机，然后启动挖矿木马程序，开始进行挖矿活动。并通过配置系统计划任务、修改操作系统自启动项、修改系统注册表等方式来对挖矿木马进行管理，达到挖矿木马的持久化运行和隐匿的目的。

1.3 占用主机大量资源，与矿池或控制端通信

挖矿木马成功控制受害者主机后，与矿池或控制端通信，占用CPU或GPU进行超频运算，从而消耗主机大量资源，导致CPU和GPU使用率出现异常、业务及服务器访问出现明显的卡顿、反应速度慢或频繁崩溃重启、异常的网络连接、矿池地址回连等情况，严重影响主机上的其他应用的正常运行。部分挖矿木马还有横向传播功能，还会出现密码抓取操作、漏洞扫描等大量发包操作。

1.4 挖矿木马横向移动，内网扩散

挖矿木马利用被感染的主机作为跳板，进行内网主机之间的横向扩散。攻击者利用被感染主机进行内网探测扫描，发现其他潜在的受害目标主机，基于受控主机传播挖矿木马程序，感染其他主机，实现挖矿木马在内网主机间的蔓延扩散。

2 挖矿木马行为监测技术

基于上述分析，当前挖矿木马行为监测治理存在以下难点：一方面挖矿木马入侵主机后会检测并关闭安全防护软件，且能够隐藏自身进行挖矿，还会利用混淆、加密、加壳等手段对抗检测[7]；另一方面挖矿木马行为产生海量流量和日志，涉及大量局域网终端设备，难以精准定位挖矿威胁，分析溯源难。本文针对挖矿木马攻击阶段分析，构建以协议识别、行为检测、关联分析、AI基因检测技术为主，威胁情报匹配为辅的挖矿木马行为监测系统，为整治挖矿木马提供精准高效的方法。

新闻采访中的心理沟通技巧…………………………………………………………………………………………石 堃（1.39）

2.1 基于挖矿协议的流量识别

挖矿活动产生的主要效益为虚拟货币，其矿机在运行过程中会存在连接矿池行为，通信过程遵循特殊的协议，目前主流币种有比特币、以太坊、门罗币、莱特币等，其主要使用的币类协议有Stratum(STM)、GetWork(GWK)、GetBlockTemplate(GBT)等。

Stratum协议是目前主流的矿机和矿池之间的TCP通信协议，在挖矿主机和矿池的交互过程中，支持矿工连接矿池获取订阅任务、矿工账号登录矿池授权、挖矿任务分配、挖矿、工作量提交和挖矿任务难度调整六种行为。通过对通信流量中的挖矿协议进行识别，有比较明显的标识特征，如mining.subscribe、mining.authorize等，监测Stratum协议通信过程中各个阶段的通信行为，并进行多种行为之间有效性的关联分析，最终确认是否存在挖矿木马程序在使用Stratum协议，与矿池之间进行通信从事挖矿活动。

2.2 基于威胁情报的挖矿木马监测

矿池包括公开矿池和私有矿池，对应域名有公开的矿池地址和私有的矿池地址。私有矿池地址一般由域名+端口或IP地址+端口的形式组成，域名和公有的矿池地址一样存在一些特殊字符串，如pool、xmr、mine等。在监测过程中可结合威胁情报和对应通信内容进行综合判定。

通过互联网情报收集、联盟情报共享、蜜罐抓取等形式，形成矿池数据以及恶意挖矿木马威胁情报系统，主要包括挖矿活动家族使用的C&C(Command and Control)域名、恶意文件hash值、矿池域名和IP、挖矿活动使用的加密货币钱包地址、邮箱等，结合PDNS数据、WHOIS等数据对域名、域名注册人、域名注册邮箱、解析IP地址等进行关联拓展后形成注册人信息-注册域名-子域名-IP-端口-服务等信息关键链条，通过内部关联匹配，对监测内容进行自动标签，从而分析挖矿木马通信流量并产生相关的威胁告警记录。

2.3 基于攻击链模型的关联监测

基于kill-chain的攻击分析模型[8]，将网络攻击分成扫描探测、尝试性攻击、初步感染、木马下载、远程控制和行动收割6个阶段。其中挖矿木马入侵通道中的暴力破解、RCE(Remote Command/Code Execute)漏洞利用、Web注入属于尝试攻击，渗透提权属于初步感染阶段，挖矿木马植入属于木马下载阶段，僵尸网络控制、横向渗透属于远程控制阶段，挖矿木马与矿池通信属于行动收割阶段。

获得内网主机登录权限的方式主要包括漏洞利用、暴力破解等。漏洞利用常基于远程代码执行漏洞，包括不限于Weblogic、Apache Struts2、Jboss、Shiro等常见组件的CVE漏洞；暴力破解针对的应用包括不限 于MySQL、MSSQL、Oracle、SSH、FTP、RDP、Telnet、Redis等。通过挖矿木马通信的特征、挖矿木马受控主机等维度，基于深度机器学习的DGA（域名生成算法）检测算法[9]，能有效发现被植入挖矿木马的受控主机及僵尸网络木马的入侵通道。

以时间轴为主线，将不同阶段监测发现的攻击事件进行关联分析，包括IP汇聚、事件分类分级、访问关系关联等，进而发现感染挖矿木马的主机。通过将内网主机漏洞或缺陷的利用、挖矿木马的植入和挖矿木马与矿池的交互通信等单点检测结果进行关联，基于攻击链追溯的算法还原挖矿木马的整个活动过程，从而进行攻击追溯和更准确的攻击者画像绘制。

2.4 基于AI的基因模型监测

为逃避打击，挖矿木马家族更新速度和频率远超其他病毒软件，据统计基于蜜罐网络捕获发现Sysrv-hello挖矿家族曾在一周内进行数次更新[10]，版本迭代已数十次，通过不断地新增攻击模块，进一步扩大了影响范围和危害。

传统的挖矿木马检测方法分为静态检测、动态检测、资源检测等方式，均存在各自的缺陷。人工智能(AI)技术可以基于大数据统计分析，挖掘数据规律及目标特征[11]，更快地检测出挖矿木马威胁，提高分析的效率及准确性。通过威胁情报图数据库进行样本关联，发现大量的同家族威胁样本，针对不同的挖矿家族绘制对应基因图谱，开展恶意代码基因检测，发现挖矿恶意木马及变种；在此基础上对不能解密的加密流量使用加密恶意流量检测模型分析，发现加密挖矿通信，从数据包级、流级等不同层次提取行为特征构建模型，基于人工智能的基因检测技术提升对恶意流量的识别能力，分析挖矿木马的通信协议、数据格式、字段特征等，从而判断是否是挖矿木马行为。

2.5 技术对比

对上述提出的几种技术进行横向对比分析，不同技术实现方式优劣势对比情况见表1。

表1 技术对比情况

3 挖矿木马行为监测应用

为验证上述挖矿木马行为监测模型，选取20个疑似感染挖矿木马的企事业单位，在网络出入口通过分光或镜像网络流量旁路部署监测设备，对流经的网络流量进行全流量监测，系统部署如图2所示。

图2 监测系统部署示意图

近一个月累计监测，单一挖矿协议流量识别发现98台企业主机存在虚拟货币挖矿通信行为，单一威胁情报匹配发现56台主机疑似感染挖矿木马病毒，进一步基于攻击链模型关联识别及AI基因模型监测研判确认75台主机感染挖矿木马病毒，挖矿通信行为近1 100万余次，涉及CoinMiner、Bit-Coin、XMRig、CoinHive等数十种挖矿木马家族，主要从事门罗币挖矿。

同时，监测设备可与涉事企业防火墙联动，下发策略过滤挖矿病毒木马，阻断受控主机与矿池连接。进一步联动企业终端检测响应系统，对挖矿程序及进程隔离、清除，实现系统级防御。

4 结论

近年来，伴随着虚拟货币交易市场的发展以及虚拟货币的经济价值不断提升，挖矿木马网络攻击已经成为影响最为广泛的网络安全威胁之一[12]，影响着广大企事业单位和个人用户。

建议行业监管单位依托流量技术手段，建立虚拟货币“挖矿”拦截情报中心，将“挖矿”程序从前期的入侵，中期的植入扩散，到后期的回连全流程进行全程监测，形成纵深联动防御，保障人民利益[13]。

同时建议涉事企事业单位及个人加强网络安全意识培训，禁止使用弱口令，避免一密多用，关闭非必要端口，切勿随意打开来历不明的程序、文档、邮件等，尽量从官方网站下载安装程序，及时更新重要补丁和升级组件。进一步加强网络安全监测，对主机进行安全扫描，清除相关恶意程序，同时对入侵通道进行封堵修复，避免二次感染，修复系统、组件、服务存在的相关远程利用漏洞，增加程序访问许可和控制访问对象权限。