点击蓝字

关注我们

作者简介：乔峰扛着音响来了，8年安全技术从业经验，以样本分析、应急响应和木马取证、应急响应工具开发为主要方向。

听说有人找我，那么我来了~

01 前言

当前，互联网上与挖矿木马应急取证相关的技术文章数不胜数，从不同角度不同程度给阅读者以参考；但是，在日常工作中，我们发现客户对于挖矿的认知仍然有一些偏差，我们的同行技术人员对于挖矿取证的思路有时候缺乏一些完整性的视角。因此，微步在线应急响应团队想通过这些年与挖矿对抗的经历，形成系列笔记，深入浅出，以相对完整的思路逐一将挖矿的应急取证讲清楚。

抛砖引玉，希望与做应急响应方向的同学共同探讨，同时也希望可以为企业安全运营技术人员提供一些安全运营的处置思路。

作为“挖矿木马取证”系列文章的开端，本文主要科普一下挖矿木马的概念和技术，后续将通过Windows/Linux平台上的大型挖矿家族为例，通过若干篇技术文章分别讲述具体的挖矿取证方法。

02 矿池与钱包

先分享一个我与挖矿的小故事吧。

第一次遇见挖矿木马是在2015年，当时我主要负责样本分析之类的工作。某日领导给了我一个取证项目，需要远程分析，据说客户已经定位到木马，远程屏幕加载完成后我就懵了，摆在桌面的是个Windows应用程序窗体（看界面基本确定是MFC编写），客户说这就是木马。这是木马？？？(后来分析知道这是个矿机生成器，类似CS的后门生成一样，类似下图)

说到这儿不得不提下当时的背景。

2015年，比特币正在疯涨，挖矿木马虽然我有所耳闻，但毕竟还没真正去了解过，且将挖矿作为木马程序对待，在当时还没形成广泛的认知。我和同事均为样本分析人员，当时分析的样本均为DDoS、远控后门、蠕虫或者勒索类木马这类后台运行的程序，会有一些APT复杂的样本，但也都是后台运行。但像这种明目张胆在前台带着窗口运行的，还从来没有见过。。。（后来知道，黑客是把生成矿马的客户端直接放上来了）

带着好奇心我查看了木马上的功能，确实发现了钱包、矿池之类的东西，根据木马的信息进行检索，确定这是一个门罗币(XMR)矿机。

提到钱包和矿池，必须再阐述一下挖矿取证必须知道的一些概念。

矿机（矿马）与矿池进行连接，通过矿池下发任务进行挖矿，没有连接到矿池的矿机通常是不工作的，也就是说不消耗主机的CPU/GPU算力。

而矿池本身也分为“公共矿池”和“私有矿池”。公共矿池通常公开且有域名，可以通过互联网收集；私有矿池并不公开，通常需要安全厂商通过挖矿协议进行协议交互以主动发现。

通常来说，利用安全设备进行挖矿检测时，矿池通常有两方面的应用，一是将矿池地址(IP/域名)作为威胁情报进行检测，二是通过挖矿协议的流量特征进行检测。

挖矿通信协议有多种，但目前使用的基本都是Stratum协议，该协议因为带宽和性能消耗较少，战胜了之前的GBT、getwork等协议成为主流协议。

之前还提到钱包地址，该地址作为攻击者的收入，是可以被我们查看的（如果存在代理矿池则可能无法获取钱包地址），钱包地址通常为一串特殊的字符串。

使用钱包地址查询余额

03 挖矿木马的特点

时间来到2017年，比起之前的挖矿木马还需人工渗透投递，在这一年，挖矿木马完成了一次巨大的进化。我会用四个词来概括此时挖矿木马的特点：“蠕虫化”、“更新快”、“高度组件化”、“易取难清”。

为什么矿马的蠕虫化（自动化传播）在当年开始兴起了呢？相信有很多同行已经猜到了答案，没错，这就不得不提到当年5月12日爆发的，在全球范围内感染超过150个国家的WannaCry勒索病毒(点击此处文字了解更多勒索病毒信息)。

WannaCry借助史诗级漏洞“永恒之蓝“（MS17-010）只用不到一天时间快速席卷全球，让圈内圈外人士再次关注到Windows安全、0day以及勒索软件（犹记得那个通宵加班的周末~）。也是在这个阶段，更多的人将安全研究从Web安全转向内网渗透，尤其是域渗透的的攻防研究。

借助WannaCry勒索病毒为“永恒之蓝“漏洞打的 “广告”，挖矿团伙们嗅到了“商机”，迅速制作了自家的挖矿木马进行传播（比如WannaMine/NrsMiner家族）。

虽然微软早在2017年4月就发布了补丁，而且WannaCry也让大家更加重视网络安全并意识到及时打补丁的重要性，但企业内部总会因为业务、网络架构、人员空缺、边缘资产等各种原因不会及时升级补丁，以至于时至2022年，还是有很多企业内网在使用Win7以及Win2008等系统，导致内网不断被攻破和感染。

随后的时间里，挖矿团伙和安全企业进行了高强度的对抗，不断更新和升级挖矿木马并进行传播。

时间轴内容为公网搜集，此处仅整理

当下挖矿木马的特点“蠕虫化”“更新快”以及“易取难清”，其实都是基于一个原因，那就是“高度组件化”。

我根据各类挖矿家族对挖矿木马的组件进行了分类，大致分为“挖矿组件”、“持久化组件”、“传播组件”、“更新组件”以及“其它组件”，大致如下图：

基于以上特点，挖矿木马的取证比起寻常木马更为耗时耗力。

04 关于挖矿的几个问题

有了前面这些知识铺垫，我们可以来回答一些特定的问题了。

问题1：我的企业是怎么中挖矿木马的？

回答：通常有4种情况，服务器漏洞利用、爆破、供应链感染（官网被黑或安装包捆绑木马）以及网页挂马。

问题2：挖矿木马的危害是什么，我是否需要特别关注？

回答：

1. 浪费CPU算力，导致主机卡顿，正常请求无法得到响应；

2. 增加电力损耗，加速主机硬件的老化速度，挖矿导致小区断电的情况也是发生过的；

3. 存在横移风险，除当前企业自身被感染外，以此为据点攻击其它企业单位设施，从而接到监管部门警告；

4. 后门组件存在的缘故，也存在窃取机密信息的风险；

鉴于以上危害，内网发现挖矿木马应当及时清除，且尽可能通过溯源方式找到木马进入的原因，从而确定企业安全建设的薄弱环节。

问题3：为什么挖矿木马难以清除且总是反反复复？

回答：木马组件众多且具备感染能力。木马反复出现通常有两种情况，一是清除木马后没有及时打补丁，也没有修改相应的账号密码，从而导致被再次感染，二是木马没清除干净，其持久化组件或更新组件还在运行，导致再次感染。

问题4：挖矿的原理是什么？

回答：以比特币为例，所谓“挖矿”就是，将一段时间内比特币系统中发生的交易进行确认，并记录在区块链上，形成新的区块，挖矿的人叫做矿工。简单来说，挖矿就是记账的过程，矿工是记账员，区块链就是版本。比特币系统的记账权利是去中心化的，即每个矿工都有记账的权利，只要成功抢到记账权，矿工就能获得系统新生成的比特币奖励。从这个意义上来说，挖矿就是生产比特币的过程。

中本聪最初设计比特币时规定每生产210,000个区块，比特币奖励减半一次，直至比特币不能再被细分，因为比特币的总量是有限的。比特币也被称为数字黄金。比特币生产也俗称挖矿。

此外，比特币也有其单位，比特币(BTC)、比特分(cBTC)、毫比特(mBTC)、微比特(μBTC)以及最小单位聪。1BTC=1亿聪。

参考：区块链的挖矿原理：什么是挖矿？

至此，本文对于挖矿取证的基础介绍结束了。在接下来的系列文章中，我会选择几个典型的挖矿木马家族进行取证分析介绍，详细讲讲面对挖矿木马时的木马定位以及清除方法。

- END -

微步在线应急响应团队为企业客户提供应急响应服务。当企业遭遇突发重大安全事件（APT攻击、勒索加密、数据窃取、漏洞攻击、主机被控等），微步在线可提供快速事件定位取证、隔离清除、溯源分析、安全加固等专业安全服务，帮助企业信息系统在最短时间内恢复正常工作，将事件影响降到最低。

如果发生安全事件，可联系微步在线应急响应团队，联系方式：4000301051

     

转发，点赞，在看，安排一下？

1. 内容转载，请微信后台留言：转载+转载平台

2. 内容引用，请注明出处：以上内容引自公众号“微步在线应急响应团队”

原文始发于微信公众号（微步在线应急响应团队）：挖矿木马取证实战笔记（一） 我的挖矿取证简史