挖矿木马基础知识

文章目录

- 一、概述
- 二、挖矿介绍
- 三、挖矿的收益
- 四、挖矿木马的传播方式
- - 漏洞利用
  - NSA武器的使用
  - 无文件挖矿
  - 利用网页挂马
  - 暴力挖矿病毒
  - 黑吃黑
- 五、防范建议
- 六、学习参考

一、概述

比特币(Bitcoin)的概念最初由中本聪在 2008年11月1日提出，并于 2009年1月3日正式诞生。根据中本聪的思路设计发布的开源软件以及建构其上的 P2P 网络。比特币是一种 P2P 形式的数字的加密虚拟货币。点对点的传输意味着一个去中心化的支付系统。与所有的货币不同，比特币不依靠特定货币机构发行，它依据特定算法，通过大量的计算产生，比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。并使用密码学的设计来确保货币流通各个环节安全性。2013年流行的虚拟货币有比特币、莱特币、无限币、夸克币、泽塔币等。由于比特币不是法定货币，且交易存较大风险，自2013年以来，国家有关部门对比特币进行了有效的管控，并出台了相应的政策和法规:

2013年12月5日，《中国人民银行工业和信息化部中国银行业监督管理委员会中国证券监督管理委员会中国保险监督管理委员会关于防范比特币风险的通知》:比特币是一种特定的数字商品;比特币交易作为一种互联网上的商品买卖行为，普通民众在自担风险的前提下，拥有参与的自由。
2017年9月4日，《中国人民银行中央网信办工业和信息化部工商总局银监会证监会保监会关于防范代币发行融资风险的公告》:禁止从事代币发行融资活动(ICO);交易平台不得从事法定货币与代币、“虚拟货币”相互之间的兑换业务，不得买卖或作为中央对手方买卖代币或“虚拟货币”，不得为代币或“虚拟货币”提供定价、信息中介等服务。
2021年6月21日,，中国人民银行有关部门就银行和支付机构为虚拟货币交易炒作提供服务问题，约谈了多家银行和支付机构，禁止使用机构服务开展虚拟货币交易。
2021年9月3日，国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知。要求全面梳理排查虚拟货币“挖矿”项目。禁以数据中心名义开展虚拟货币“挖矿”活动等要求。
2022年开始，国资委每年发送通知，要求开展虚拟货币“挖矿”活动清理相关工作。

基于目前比特币等虚拟货币存在着大量的商业价值,市场上许多黑客和不法分子通过植入后门等途径，非法利用第三计算机资源进行挖矿行为。目前国内很多数据中心、办公电脑成为了很多不法分子挖矿的资源。为更好净化网络环境和节能减排，需对数据中心出口、网络边界出口进行流量监控和分析，发现非法挖矿应用，并对相关应用进行有效的阻断，从而保障服务器、办公电脑等资产不被侵占。

二、挖矿介绍

挖矿:是对加密货币(比如比特币)开采的一个俗称开采比特币就像是求解一道数学题,最先得到答案，就获得相应的奖励，所以整个求解并验证的过程就叫做挖矿。挖矿主要有三种方式:第一类使用专业的矿机;第二类使用高速显卡挖矿;第三使用CPU挖矿;矿机:协助破解数字答案的设备就称为矿机。
矿工:运行矿机，获得收益的人群就被成为矿工。
矿场:矿场是很多台矿机组合到一起，使得算力增强。钱包:像一张银行卡一样，拥有一个唯一卡号(地址)来接收或发送你的虚拟货币矿池挖到币以后，给你发到这个地址上，币就进入了你的钱包。
矿池:随着参与挖矿的人越来越多,比特币全网的算力不断上涨,单个设备或者少量的算力都很难再挖到比特币,这个时候矿池就产生了，矿池是突破地址位置的限制，将各地的算力汇聚起来增强算力，并把收益平分给所有算力，保证矿池参与者收入稳定。那么所有队伍中的人会根据每个人的电脑性能进行分红。
比如:1000人在同一个矿池中挖矿，挖出一个区块后，这个区块产生的N个比特币的报酬，会根据这 1000个人的电脑性能进行分红。如果你的电脑性能强劲，也许会分到 100分之 1，如果性能落后，也可能会分到 10000分之1。

三、挖矿的收益

当下互联网的贸易，几乎都需要借助金融机构作为可信赖的第三方来处理电子支付信息，此类交易方式受限于“基于信用的模式”，无法实现完全不可逆的交易。比特币之父中本聪提出了电子支付系统，基于密码学原理，使得任何达成一致的双方，直接进行支付而不需要第三方中介参与。所谓的比特币实际就是一串数字签名，每一位所有者通过对前一次交易和下一位拥有者的公钥（Public key）签署的一个随机散列的数字签名。
比特币就是一串字符串，所谓的比特币交易也是一个地址转移到另外一个地址，并且比特币的交易记录也是公开的，每个地址拥有多少比特币都是公开的，可以通过https://blockchain.info/ 地址进行查询，只需要通过BTC地址就可查询到相关账户的比特币信息。
当两个账户进行交易时，付款方需要提供上一笔交易hash、本次交易双方地址、支付方公钥、支付方私钥生成的数字签名，整个交易过程如下：
在这里插入图片描述
在确认交易的真实性后，交易数据需要写入区块中，此时整个交易才算结束。写入区块的过程就是矿工所做的工作。根据比特币协议，一个区块大小大约是1MB，而每一笔交易大约是500字节左右，一个区块大约可以存储2000多条记录，矿工们负责将这些交易打包成一个区块，并且计算这个区块的hash值，也就是记账工作。中本聪最初设计是大约每10分钟产生一个区块，为了增加计算难度，引入了工作量证明（Proof-of-Work）。在区块中补增随机数（Nonce），这个随机数要使得该给定区块的随机散列值出现了所需的那么多个 0。我们通过反复尝试来找到这个随机数，直到找到为止，这样我们就构建了一个工作量证明机制。
挖矿的过程实际就是在计算一道数学题，计算sha256（sha256（上一个Hash值，交易记录集，随机数）），通过不停的变换随机数，在经过海量计算后找到满足目标的hash数值。Hash的值由数字、大小写字母组成，每一位有62（10个数字、26个大写、26个小写）种可能性，那么第一位出现0的概率大约为62分之一，如果前两位为0则需要尝试62的平方次，如下区块前19位为0，则相当于尝试了62的19次方次计算，应该是已经上亿亿级别的运算了。
找到满足的hash值后，将记录添加到区块链中，也就意味着挖矿成功了，会获取整个区块的收益。由于需要较强的算力，所以现在很多矿工都加入矿池，通过贡献自己的算力共同挖矿，在获取收益后根据各自的贡献进行分享。这也就能解释多数被植入挖矿木马的机器，都会出现cpu使用骤增、耗电量增多现象，在挖矿木马进行分析时会发现矿池相关信息。
比特币协议规定，挖到新区块的矿工将获得奖励，一开始（2008年）是50个比特币，然后每4年减半，目前（2019年）是12.5个比特币。由于比特币可以分割到小数点后八位，那么到了2140年，矿工将得不到任何奖励，比特币的数量也将停止增加，大约为2100万个。这时，矿工的收益就完全依靠交易手续费了。

四、挖矿木马的传播方式

现在很多的挖矿木马已经不在像之前那样傻傻的，通过top、netstat等命令可以直接看到恶意程序，现在会使用一些隐藏手段去隐藏挖矿进程来存活更久。其感染方式也是变的多种多样。

漏洞利用

Windows系统漏洞、服务器组件插件漏洞、中间件漏洞以及web漏洞；redis、ssh、3389、mssql、IPC$等各种弱口令漏洞。利用系统漏洞或弱口令快速获取相关服务器权限，植入挖矿木马。

NSA武器的使用

“方程式黑客组织”使用的部分网络武器被公开，其中包括可以远程攻破全球约70% Windows系统的漏洞利用工具。包括永恒之蓝、永恒冠军、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。黑客NSA武器进行批量漏洞扫描攻击，获取更多肉鸡，植入挖矿木马贡献算力。

无文件挖矿

通过在Powershell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地，直接在Powershell.exe进程中运行，这种注入“白进程”执行的方式可能造成难以检测和清除恶意代码。

利用网页挂马

网站在其网页内嵌了挖矿 JavaScript 脚本，用户一旦进入此类网站，JS 脚本就会自动执行，自动下载若干个病毒。部分系统存在flash高危安漏洞，也被攻击者利用，使电脑自动运行挖矿代码。

暴力挖矿病毒

360 发现了可以迅速传播的挖矿劫持程序WinstarNssmMiner。这个恶意程序的特别之处在于，卸载它会让受害者的计算机崩溃。WinstarNssmMiner首先启动svchost.exe进程并向其植入代码，然后将该进程的属性设置为CriticalProcess。由于计算机将其视为关键进程，因此一旦强制结束该进程，计算机就会蓝屏。

黑吃黑

因为比特币地址很长，为了方便使用很多人会选择保存在本地，很多挖矿木马会带有劫持剪贴板功能，当监视到受害主机出现比特币交易时，会将收款钱包替换为自己的钱包地址，从而盗取受害者资产。
最后蹭网也可能会被成为他人矿工，之前星巴克的公共wifi就被爆出被黑客利用来进行挖矿，黑客主要通过入侵 WIFI 提供商，在 WIFI 连接页面被植入挖矿代码，导致用户在连接 WIFI 时执行挖矿程序。