1. 概述

挖矿木马通过各种手段将挖矿程序植入受害者的计算机中，在用户不知情的情况下，利用受害者计算机的运算能力进行挖矿，从而获取非法收益。目前已知多个威胁组织（例如，“8220”、H2Miner等）传播挖矿木马，致使用户系统资源被恶意占用和消耗、硬件寿命被缩短，严重影响用户生产生活，妨害国民经济和社会发展。2022年，安天CERT发布了多篇针对挖矿木马的分析报告，现将2022年典型的挖矿木马梳理形成家族概览，进行分享。

2. 挖矿木马的危害

加重信息系统基础设施资源消耗与运行风险：挖矿木马普遍消耗信息系统基础设施的大量资源，使操作系统及其服务、应用软件运行缓慢，甚至造成正常服务崩溃，产生承载业务中断、业务数据丢失等一系列负面影响；

危害信息系统基础设施使用寿命与运行性能：挖矿木马迫使信息系统基础设施长时间高负载运行，致使其使用寿命缩短，运行性能严重下降；

浪费能源，增大碳排放量：挖矿木马挖矿会消耗大量电能，造成巨大的能源消耗，而现阶段我国电能的主要来源是煤炭类化石燃料燃烧供电，因此，其挖矿作业加剧碳排放污染；

留置后门，衍生僵尸网络：挖矿木马普遍具有添加SSH免密登录后门、安装RPC后门，接收远程IRC服务器指令、安装Rootkit后门等恶意行为，致使受害组织网络沦为僵尸网络；

作为攻击跳板，攻击其他目标：挖矿木马支持攻击者控制受害者服务器进行DDoS攻击，以此服务器为跳板，攻击其他计算机，或者释放勒索软件索要赎金等。

3. 挖矿木马趋势

3.1越来越多的挖矿木马团伙掌握快速集成漏洞的能力

随着挖矿木马对抗手段的卑劣加剧，越来越多的挖矿木马团伙掌握快速集成漏洞的能力。挖矿木马不仅企图对抗安全产品，还要阻断同行的竞争，即谁能率先快速集成漏洞，谁就能优先获得存在漏洞的公网算力，也就获取到了相应的利润。每当出现影响广泛的漏洞时，全网受影响的设备很难在短时间内全部完成漏洞修复，这就给了挖矿木马可乘之机。

3.2 挖矿木马矿池渐趋隐蔽，传统情报检测将逐渐失效

挖矿木马通常采用两种方式进行挖矿，一种是直连矿池的方式进行挖矿，另一种是矿池代理的方式进行挖矿。挖矿木马直连矿池挖矿通常会让受害者主机直接连接矿池地址上传算力结果，矿池平台根据贡献的算力情况将报酬下发到挖矿木马团伙的钱包中，这种方式的弊端是安全分析人员通过分析攻击脚本等能够获取到挖矿木马团伙的钱包地址，并且能够发现直连的公共矿池地址，继而通过公共矿池网站输入对应的挖矿木马团伙的钱包地址，即可发现有多少受害者在被动挖矿、当前贡献算力总哈希和产出多少门罗币等。而矿池代理可以轻松解决上述弊端，即在矿工和矿池之间添加一个中转环节，矿池代理从公共矿池获取任务转交给矿工进行运算，矿工将运算结果转交给矿池代理，继而再转发到公共矿池。矿池代理的普及将真正使用的公共矿池隐蔽起来进行挖矿，可绕过传统情报矿池黑名单检测，使传统黑名单检测失效。

3.3 相对稳定的利润驱使，更多的威胁组织开始实施挖矿攻击

2022年整个虚拟货币市场遭受巨大冲击，几乎所有币种价格都在下跌。以比特币为例，1月份每个比特币价格接近48000美元，而到了11月份，每个比特币的价格仅为17000美元，跌幅达到64.58%。尽管如此，挖矿攻击活动并没有减少，反而更加活跃。挖矿攻击最常挖取的币种是门罗币，相较于其他币种，门罗币更加稳定，这也受到了其他勒索软件组织的青睐。例如，AstraLocker勒索软件关闭了勒索攻击活动并将自身业务转向到挖矿攻击活动中，这种转变很可能是该勒索软件组织想以更加低调和隐蔽的方式赚取虚拟货币。在各国政府加强了对勒索软件的防御和执法力度之后，勒索软件组织的收益大打折扣，赚取赎金的方式主要依靠与受害者沟通，情节严重可能会受到各国政府的打压。而挖矿攻击可以在受害者不知情的情况下赚取虚拟货币，这对勒索软件组织来说风险性相对较低，虽然不及勒索受害者迫使其支付赎金而牟利较高，但挖矿攻击近乎零成本赚取虚拟货币，既不用担心电费的价格，也不用担心算力的问题，就可以赚取丰厚的报酬。因此，安天CERT认为，未来会有更多的威胁组织实施这种低风险、高回报的挖矿攻击活动。

4 活跃挖矿木马介绍

4.1“8220”

“8220”是一个长期活跃并且擅长使用漏洞进行攻击并部署挖矿程序的组织，该组织早期使用Docker镜像传播挖矿木马，后来逐步利用多个漏洞进行攻击，如WebLogic漏洞、Redis未授权访问漏洞、Hadoop Yarn未授权访问漏洞和Apache Struts漏洞等。在2020年发现该组织开始使用SSH暴力破解进行横向攻击传播。自Apache Log4j 2远程代码执行漏洞曝光后，该组织利用该漏洞制作漏洞利用脚本进行传播，影响范围广。

4.1.1 家族概览

表 4‑1 “8220”挖矿组织介绍

4.1.2         典型案例

• “8220”挖矿组织活动分析

2022年1月，安天CERT陆续捕获到多批次“8220”挖矿组织攻击样本，该挖矿组织自2017年出现，持续活跃，同时向Windows与Linux双平台传播恶意脚本，下载的载荷是门罗币挖矿程序以及其他僵尸网络程序、端口扫描暴力破解工具等^[1]。

• 关于“8220”黑客攻击团伙近期活跃情况的挖掘分析报告

2022年5月，国家计算机网络应急技术处理协调中心（CNCERT/CC）与天融信公司联合分析挖掘的某个网络犯罪团伙经外部情报比对标定为“8220”挖矿团伙。通过CNCERT/CC的数据发现，该团伙在互联网上较为活跃，持续通过Tsunami僵尸网络进行威胁传播，该团伙渗透了4千台左右的设备并传播挖矿木马，且其掌握的挖矿木马也在持续迭代，不断增强其挖矿攻击的适应能力^[2]。

4.2 Outlaw

Outlaw挖矿僵尸网络最早于2018年被发现，主要针对云服务器实施挖矿攻击，持续活跃。疑似来自罗马尼亚，最早由趋势科技将其命名为Outlaw，中文译文为“亡命徒”。该挖矿僵尸网络首次被发现时，攻击者使用Perl脚本语言的后门程序构建机器人，因此被命名为“Shellbot”。其主要传播途径是SSH暴力破解攻击目标系统并写入SSH公钥，以达到长期控制目标系统的目的，同时下载基于Perl脚本语言编写的后门和开源门罗币挖矿木马。

4.2.1 家族概览

表 4‑2 Outlaw挖矿僵尸网络介绍

4.2.2 典型案例

• 典型挖矿家族系列分析一丨Outlaw（亡命徒）挖矿僵尸网络

Outlaw挖矿僵尸网络首次被发现于2018年11月，当时其背后的攻击者只是一个通过漏洞入侵IoT设备和Linux服务器并植入恶意程序组建僵尸网络的组织，主要从事DDoS攻击活动，在暗网中提供DDoS出租服务。在后续的发展过程中，受虚拟货币升值影响，也逐步开始在僵尸网络节点中植入挖矿木马，并利用僵尸网络对外进行渗透并扩张，获得更大规模的计算资源，旨在挖矿过程中获取更多的虚拟货币^[3]。

4.3 TeamTNT

TeamTNT挖矿组织最早于2019年被发现，主要针对Docker Remote API未授权访问漏洞、配置错误的Kubernetes集群和Redis服务暴力破解进行攻击。入侵成功后，窃取各类登录凭证并留下后门，主要利用目标系统资源进行挖矿并组建僵尸网络。经过近几年发展，该组织控制的僵尸网络规模庞大，所使用的攻击组件更新频繁，是目前针对Linux服务器进行挖矿的主要攻击组织之一。该组织疑似来自德国，其命名方式依据该组织最早使用teamtnt.red域名进行命名。

4.3.1 家族概览

表 4‑3 TeamTNT挖矿组织介绍

4.3.2 典型案例

• 针对AWS和阿里云发起攻击

2022年4月，研究人员发现了TeamTNT挖矿组织使用的恶意shell脚本的修改版本。恶意软件作者在意识到安全研究人员披露了他们脚本的先前版本后修改了这些工具。这些脚本主要针对亚马逊网络服务（AWS）和阿里云而设计，但也可以在本地、容器或其他形式的Linux实例中运行^[4]。

• TeamTNT发起Kangaroo攻击

2022年9月，研究人员研究发现，TeamTNT挖矿组织发动Kangaroo攻击，劫持了大量服务器作为破解比特币的求解器算法，并试图破解secp256k1椭圆曲线的密钥和签名。由于使用Pollard的Kangaroo WIF求解器，这种攻击被命名为Kangaroo攻击，该攻击扫描易受攻击的Docker Daemons程序，投放Alpine OS映像，并最终从GitHub获取求解器^[5]。

4.4 H2Miner

H2Miner挖矿木马最早出现于2019年12月，爆发初期及此后一段时间该挖矿木马都是针对Linux平台，直到2020年11月后，开始利用WebLogic漏洞针对Windows平台进行入侵并植入对应挖矿程序。此外，该挖矿木马频繁利用其他常见Web组件漏洞，入侵相关服务器并植入挖矿程序。例如，2021年12月，攻击者利用Log4j漏洞实施了H2Miner挖矿木马的投放。

4.4.1 家族概览

表 4‑4 H2Miner挖矿组织介绍

4.4.2 典型案例

• H2Miner挖矿木马新变种利用RCE漏洞发起攻击

2022年3月，研究人员捕获到H2Miner组织挖矿木马变种样本。H2Miner组织最早活跃于2019年底，善于利用最新披露的RCE漏洞进行“撕口子”渗透攻击，对目标服务器植入木马，将其变为“矿机”，最终实施非法挖矿活动，据悉该组织曾非法挖矿门罗币获利超370万人民币^[6]。

4.5 Sysrv-hello

Sysrv-hello挖矿蠕虫于2020年12月31日被首次披露，通过漏洞传播，无针对性目标，蠕虫样本更新频繁，是一个活跃在Windows和Linux的双平台挖矿蠕虫。根据其近两年的活动，可将其发展分为三个阶段：前期尝试传播、中期扩大传播和后期注重防御规避并维持传播力度。从三个阶段的样本分析看，其背后黑产组织并不重视维持对目标主机的访问权限，只在中期和后期的Redis漏洞利用中添加了在目标系统中植入SSH公钥的功能；其更加注重收益，尽可能扩展和维持传播能力，由于其后期矿池连接方式采用矿池代理，无法获取其全面的收益情况，但在2021年3月份期间平均每两天收益一个门罗币，按当时市价，即平均每天收益100美元。

4.5.1 家族概览

表 4‑5 Sysrv-hello挖矿蠕虫基本信息

4.5.2 典型案例

• 警惕！双平台挖矿僵尸网络Sysrv-hello加持新漏洞再度来袭

2022年4月，研究人员捕获到Sysrv-hello挖矿僵尸网络首个在野利用Spring Cloud Gateway Actuator RCE漏洞（CVE-2022-22947）攻击用户服务器进行挖矿的新变种。由于该漏洞属高危漏洞，利用方式较为简单且已经公开（通过构造恶意请求包便可实现），存在被广泛利用的风险，因而危害较大^[7]。

• 警惕恶意软件利用Confluence远程代码执行漏洞发起攻击

2022年5月，研究人员收集并分析了很多有关针对Atlassian Confluence的攻击流量，虽然这个漏洞有不同的攻击向量，但近期发现的恶意软件攻击都针对参数“queryString”，其中包括Sysrv-hello挖矿木马、利用WMI进行持久化的门罗币挖矿病毒、利用图片格式进行伪装的挖矿病毒等^[8]。

4.6“1337”

“1337”组织通过扫描暴露在互联网之上的TCP 22端口确定攻击对象范围，利用SSH暴力破解工具对暴露该端口的信息基础设施实施暴力破解攻击。暴力破解成功后，攻击者会在托管网站下载相应工具和脚本，针对受害者内部网络的TCP 22端口实施扫描和暴力破解。在此基础上，对受害者内部网络的IP地址实施扫描窥探并将扫描结果写入指定文本，继而利用暴力破解工具对存活状态的IP地址对应端点设施实施暴力破解攻击，以此实现在受害者内部网络中的横向移动。下载挖矿程序和挖矿程序执行脚本，进行挖矿。经判定，该挖矿程序为开源挖矿程序Phoenix Miner，主要挖取以太币。

4.6.1 家族概览

表 4‑6 “1337”挖矿组织介绍

4.6.2 典型案例

• “1337”挖矿组织活动分析

2022年2月初，哈工大安天联合CERT实验室在网络安全监测中发现某网络攻击组织利用SSH暴力破解投放挖矿程序的活动比较活跃，经关联分析研判，该组织最早在2021年底开始出现，本次监测到攻击者所用的托管域名为david1337.dev，该域名中的样本是由开源工具和挖矿程序构成，之后又相继关联到多个域名与IP均和“1337”字符串有关，故安天CERT将该挖矿组织命名为“1337”组织^[9]。

4.7 Kthmimu

Kthmimu挖矿木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后，该木马挖矿活动较为活跃，同时向Windows与Linux双平台传播恶意脚本，下载门罗币挖矿程序进行挖矿。该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外，该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上，木马使用Shell脚本下载挖矿程序，并且该脚本还会清除具有竞争关系的其它挖矿程序、下载其它脚本和创建计划任务等功能。

4.7.1 家族概览

表 4‑7 Kthmimu挖矿木马介绍

4.7.2 典型案例

• 活跃的Kthmimu挖矿木马分析

自2022年3月以来，安天CERT陆续捕获到Kthmimu挖矿木马攻击样本，该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后，该木马挖矿活动较为活跃，同时向Windows与Linux双平台传播恶意脚本，下载门罗币挖矿程序进行挖矿^[10]。

4.8 Hezb

Hezb挖矿木马在Windows平台使用名为“kill.bat”的bat脚本执行主要功能，具体功能为结束具有竞争关系的其它挖矿进程、执行门罗币挖矿以及下载名为“mad.bat”的脚本，该脚本为门罗币挖矿程序的配置文件。在Linux平台中使用名为“ap.sh”的Shell脚本执行主要功能，具体功能为下载curl工具，便于下载后续恶意脚本、结束具有竞争关系的其它挖矿程序、横向移动、卸载安全软件、执行名为“ap.txt”的脚本、下载kik恶意样本和执行挖矿程序等。

4.8.1 家族概览

表 4‑8 Hezb挖矿木马介绍

4.8.2 典型案例

• 活跃的Hezb挖矿木马分析

2022年5月，安天CERT陆续捕获到Hezb挖矿木马攻击样本，该木马在5月份时主要利用WSO2 RCE（CVE-2022-29464）漏洞进行传播，该漏洞是一种无需身份验证的任意文件上传漏洞，允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。自Confluence OGNL（CVE-2022-26134）漏洞利用的详细信息公布后，Hezb挖矿木马开始利用该漏洞进行传播，该漏洞可以让远程攻击者在未经身份验证的情况下，构造OGNL表达式进行注入，实现在Confluence Server或Data Center上执行任意代码^[11]。

参考资料

• “8220”挖矿组织活动分析

https://www.antiy.cn/research/notice&report/research_report/20220428.html

• 关于“8220”黑客攻击团伙近期活跃情况的挖掘分析报告

https://www.cert.org.cn/publish/main/upload/File/8220%20APT.pdf

• 典型挖矿家族系列分析一 丨Outlaw（亡命徒）挖矿僵尸网络

https://www.antiy.cn/research/notice&report/research_report/20221103.html

• TeamTNT Targeting AWS, Alibaba

https://blog.talosintelligence.com/teamtnt-targeting-aws-alibaba-2/

• Threat Alert: New Malware in the Cloud By TeamTNT

https://blog.aquasec.com/new-malware-in-the-cloud-by-teamtnt

• 小心你的服务器变“矿机”！天融信捕获变异H2Miner挖矿木马

https://zhuanlan.zhihu.com/p/485155482

• 警惕！双平台挖矿僵尸网络Sysrv-hello加持新漏洞再度来袭

https://mp.weixin.qq.com/s/PUwVvIGjon0ok8kmojksJw

• 警惕恶意软件利用Confluence远程代码执行漏洞发起攻击

https://mp.weixin.qq.com/s/XiZeonkI1AdwpX6EXC0f3g

• “1337”挖矿组织活动分析

https://www.antiy.cn/research/notice&report/research_report/20220321.html

• 活跃的Kthmimu挖矿木马分析

https://www.antiy.cn/research/notice&report/research_report/20220527.html

• 活跃的Hezb挖矿木马分析

https://www.antiy.cn/research/notice&report/research_report/20220705.html