随着区块链技术的火爆，比特币、以太币、瑞波币等数字货币被持续热炒，交易市值和价格一路走高，许多人看好数字货币的发展，纷纷加入“挖矿”大军。与此同时，数字货币的火爆也伴随着挖矿黑产的兴起，不法分子将木马悄悄植入用户计算机、网页之中非法牟利。

　　近期，在腾讯守护者计划安全团队协助下，山东潍坊市公安局破获部督“1.03”特大非法控制计算机信息系统案，目前抓获犯罪嫌疑人20名，查缴游戏黑客程序1款、VPN加速器1款、酷艺VIP影视木马控制程序1款，查缴58迅推木马增值客户端、挖矿程序及挖矿监控程序157款。查清该团伙非法利用黑客技术控制电脑主机389万台、挖矿主机100多万台。

　　一、传统区块链挖矿

　　在大家的印象里，挖矿群体都是浑身沾满了煤屑，衣服以外都是黝黑皮肤的人，但自区块链诞生之后，矿工的定义和印象彻底被颠覆，赋予一种新含义就是从事虚拟货币挖矿的人。所谓区块链挖矿，就是数字货币网络中每隔一定时间产生一个区块，该区块记录了过去一段时间的所有交易记录以及挖矿预期收益，矿工就是负责把交易记录写入区块链中，但这个记录是被加密的，最先完成解密的矿工即挖矿成功获得预期收益。

　　传统挖矿有两种方式，一种是普通的个人挖矿，另一种是矿池挖矿。在节点客户端直接启动CPU挖矿，以及依靠GPU直接连接节点客户端挖矿，都是个人挖矿。个人挖矿好比自己独资买彩票，不轻易中奖，中奖则收益全部归自己所有。但是在数字货币挖矿的过程中，随着越来越多的矿工加入挖矿的大军，挖矿的总算力越来越高，个人挖矿的产出也变得越来越不稳定。

　　矿工除了单打独斗，还可以通过线上平台集结在矿池挖矿。如果说矿场是一个比特币挖矿硬件设备的集合，那么矿池则是矿工算力的集合。

　　具体来讲，矿池就是一个开放的、全自动的挖矿平台，矿工将自己的矿机接入矿池，贡献自己的算力共同挖矿，共享收益。矿池挖矿好比合买彩票，大家一起出钱，能买一堆彩票，中奖后按出资比率分配收益。

　　二、木马控制计算机挖矿

　　挖矿木马最早出现于2013年，但一直并未被外界关注。2017年，由于勒索病毒的大规模爆发，区块链和数字货币概念火爆，数字货币交易价格不断走高，相关的挖矿木马网络黑产也逐渐为外界所了解。

　　至2018年第一季度，腾讯电脑管家已拦截病毒木马4.5亿次，平均每月拦截病毒木马近1.5亿次。相比2017年第四季度，病毒木马拦截量环比上涨4.25%。

　　由于挖矿木马的隐蔽性，即使用户电脑感染木马也不容易即时感知到。挖矿木马悄悄潜伏在用户的电脑中，定时启动挖矿程序进行计算，大量消耗用户电脑资源，导致用户电脑性能变低，运行速度变慢，加剧硬件损耗。因此，挖矿木马逐渐成为黑产团伙获取数字加密货币最重要的手段。

　　1、病毒、木马感染形成僵尸网络挖矿

　　根据腾讯统计，现已发现的挖矿僵尸网络超过20个，规模较大的有PhotoMiner、Myking、WannaMiner、JBossMiner、NrsMiner等。这些僵尸网络感染的用户量级均在百万以上。

　　其中的PhotoMiner，具有较强的自复制性和扩散能力，通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围，构建挖矿僵尸网络。数据表明，PhotoMiner已非法控制海量用户计算机为其挖取XMR(门罗币)80094枚，非法获利超过8900万元。该挖矿僵尸网络已遍布全球，感染量排名前三的国家是中国(26%)、美国(25%)和德国(12%)。

　　在我国，有黑产团伙利用在热门游戏外挂、盗版视频软件和网吧渠道植入木马来“挖矿”的情况。2018年4月，腾讯守护者计划协助山东警方破获利用“tlminer”等近百款木马，非法控制海量计算机389万台，形成僵尸网络、集群算力，进行“挖矿”牟利的系列案件，刑事打掉一个公司化运营开放式木马平台、公开招募代理进行木马投毒实施挖矿、非法获利过千万元的黑产团伙。

　　2、蠕虫病毒控制计算机挖矿

　　除了通过外挂等软件捆绑挖矿木马外，腾讯还检测到黑客大量利用永恒之蓝等系统漏洞，快速构建僵尸网络，让大量的肉鸡为其挖矿。而从去年底开始，通过入侵服务器，植入挖矿木马也越来越流行。黑客通过弱口令或者系统漏洞(如永恒之蓝)或第三方组件漏洞(apache structs2、weblogic等)攻陷服务器，然后植入挖矿木马，利用服务器机器的高性能来进行恶意挖矿。

　　随着比特币等加密货币的火爆，JS挖矿迅速在网络横行，严重威胁网络空间安全。黑客团伙通过入侵网站植入挖矿脚本，或者在浏览器插件中植入挖矿JS进行传播。当用户访问的网页中植入挖矿脚本时，或者带有恶意的浏览器插件时，浏览器将解析挖矿脚本的内容并执行挖矿脚本，这将导致浏览器占用大量计算机资源进行挖矿。挖矿脚本的执行会使用户计算机出现卡慢甚至死机的情况，严重影响用户计算机的正常使用。

　　JS挖矿脚本种类繁多，目前主流的植入到网页中的挖矿脚本有Coinhive，JSEcoin等，由于Coinhive在使用上的便捷性，成为黑产团伙的首选。挖矿者只需在网页中调用Coinhive官网中的js文件coinhive.min.js并指定一个唯一的标识符即可。该代码是基于CryptoNight挖矿算法编写，该算法可以产出CryptoNote类网络货币，如Monero(门罗币)、Dashcoin(达世币)，DarkNetCoin(暗网币)等。而嵌入的Coinhive Java Miner则仅支持门罗币的挖矿。Coinhive挖矿服务于2017年9月14日推出，声称站长再也不需要在网站中加入广告来赚取收益只需要在页面中嵌入Coinhive挖矿代码让用户的电脑为其挖矿即可，Coinhive平台从中收取30%的服务费。然而在利益的驱使下，黑客团伙也加入到网页挖矿的大军中。

　　以某se情网站为例：

　　1、用户访问某网站

　　2、打开网页后，电脑会变得异常卡慢。打开任务管理器即可看到站点打开后，CPU使用率立马上升并且一直保持100%。

　　3、查看该网页源码，即可找到内嵌的JS挖矿脚本

　　黑客入侵网站获取漏洞和权限并进行篡改是常见的网络安全问题，现在入侵网站篡改的内容，已经扩散到挖矿恶意代码，越来越多的站点被发现植入了挖矿脚本，正常用户访问网站后被动参与到挖矿的队伍中，成为黑客从事黑产变现的新途径。

信英IT网（）：虚拟货币挖矿黑产：“吃鸡”外挂让电脑中毒秒

　　虚拟货币虽然眼花缭乱但却有据可循，运用区块链算法进行计算获得货币从而变现。但是有一种挖矿病毒却在用你高配置的电脑为他人掘进牟利，导致电脑速度变慢不说还极大的损害硬件。眼下这种黑色产业链却风生水起，凭借零成本、高收益的优势成了黑客们的新宠。近日，山东警方在辽宁大连破获了“tlMiner”挖矿木马黑产公司。该公司控制用户电脑终端达389万台，获利1500余万元。

　　日前，山东警方在辽宁大连一举破获了“tlMiner”挖矿木马黑产公司。据悉，该公司为大连当地高新技术企业，为牟利搭建木马平台，招募发展下级代理商近3500个，通过网吧渠道、吃鸡外挂、盗版视频软件投放木马，控制用户电脑终端389万台，进行数字加密货币挖矿、强制广告等业务，合计挖掘DGB（极特币）、HSR（红烧肉币）、XMR（门罗币）等各类数字货币2000万枚，获利1500余万元。该案为国内首例利用挖矿木马组建僵网络，控制计算机挖矿的案件。据警方统计，这家公司控制的电脑中，100万台性能最好的电脑用来挖矿，其余200多万台用做弹窗广告。

　　“所谓僵网络，就是电脑是你的，但是不归你管，别人想在你电脑上干什么都可以，挖矿只是他做的最无害的一个动作。他还可以拿着你的数据，控制你家里的摄像头，还可以让这么多电脑，去集中地某一个网站，300多万台足以让被的网站瞬间瘫痪。”协助此次破案的腾讯电脑管家高级安全专家李铁军告诉记者。

　　2009年，比特币横空出世。得益于其去中心化的货币机制，其受到许多行业的青睐，交易价格也是一走高。受此影响，许多基于区块链技术的数字货币纷纷问世，例如以太币、门罗币等。这类数字货币并非由特定的货币发行机构发行，而是依据特定算法通过大量运算所得。而完成如此大量运算的工具就是挖矿机程序。

　　挖矿机程序运用计算机强大的运算力进行大量运算，由此获取数字货币。由于硬件性能的，数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币，因此，一些通过各种手段将挖矿机程序植入者的计算机中，利用者计算机的运算力进行挖矿，从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序就是挖矿木马。

　　据360安全报告显示，挖矿木马最早出现于2013年，受利益，2017年底开始挖矿木马成为最流行的木马，控制肉鸡电脑挖矿成为掘金最快的网络黑产。

　　有网友反映，自己在用外挂“吃鸡”的时候，电脑过热，或者风扇声音变大，但他们都认为那是正常的，因为“吃鸡”的时候本来就会对电脑进行高消耗。但也有网友反映，待机状态电脑风扇会自动运转并且电脑发热。那么你的电脑可能正在“挖矿”。

现在比特币的价格涨得很高，所以现在有黑客专门制造挖矿木马来诱导网友，从而达到控制电脑上的显卡来挖掘比特币。为什么木马要控制电脑中的显卡呢？因为显卡挖掘虚拟货币比特币的效率远比 CPU 要高。如果你是一位 3D 游戏玩家，正好中了比特币挖矿木马，就会发现在玩游戏时会非常卡顿。

那么，跟我们今天提到的挖矿minerd进程又有何关系呢？

　　最近一台安装了Gitlab的服务器发生了高负载告警，Cpu使用情况如下：

　　让后登录到服务器，利用top查看CPU使用情况，这个叫minerd的程序消耗cpu较大，如下图所示：

　　这个程序并不是我们的正常服务程序，心里一想肯定被黑了，然后就搜索了一下这个程序，果真就是个挖矿木马程序，既然已经知道他是木马程序，那就看看它是怎么工作的，然后怎么修复一下后门。

　　这个程序放在/opt/minerd下，在确定跟项目不相关的情况下判断是个木马程序，果断kill掉进程，然后删除/opt下minerd文件。

　　本想这样可以解决，谁想不到15秒时间，又自动启动起来，而且文件又自动创建，这个让我想起了crontab的定时器，果然运一查确实crond存在一条：，果断删除处理。再杀进程，再删文件；然并卵，依旧起来；

　　既然没用我继续google，在stackexchange找到如下解决方案：

　　各种文件删除都不起作用，原来该木马程序注册了一个“lady”的服务，而且还是开机启动，起一个这个可爱的名字，谁TMD知道这是一个木马， 这个伪装程序也可能是ntp，可以参考：/6989。

　　这下完美解决了，但是得分析一下原因，shell启动脚本：

　　解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限。

　　被植入比特币“挖矿木马”的电脑，系统性能会受到较大影响，电脑操作会明显卡慢、散热风扇狂转；另一个危害在于，“挖矿木马”会大量耗电，并造成显卡、ＣＰＵ等硬件急剧损耗。比特币具有匿名属性，其交易过程是不可逆的，被盗后根本无法查询是被谁盗取，流向哪里，因此也成为黑客的重点窃取对象。

　　攻击&防御

　　植入方式：安全防护策略薄弱，利用Jenkins、Redis等中间件的漏洞发起攻击，获得root权限。

　　最好的防御可能还是做好防护策略、严密监控服务器资源消耗（CPU／load）。

　　这种木马很容易变种，很多情况杀毒软件未必能够识别。