360安全：2018年Windows挖矿木马总结报告(29页).pdf

1、 2018 年 Windows 服务器挖矿木马总结报告 2019 年 1 月 11 日 摘要摘要 2018 年，挖矿木马已经成为 Windows 服务器遭遇的最严重的安全威胁之一。这一年， 在挖矿木马攻击趋势由爆发式增长逐渐转为平稳发展的同时，挖矿木马攻击技术提升明显， 恶意挖矿产业也趋于成熟， 恶意挖矿家族通过相互之间的合作使受害计算机和网络设备的价 值被更大程度压榨，合作带来的技术升级也给安全从业者带来更大挑战。2019 年，挖矿木 马攻击将继续保持平稳，但黑产家族间的合作将更加普遍， “闷声发大财”可能是新一年挖 矿木马的主要目标。 关键词：关键词：挖矿木马、挖矿木马、Windows 服

2、务器、恶意攻击服务器、恶意攻击 目录 前言 . 1 第一章 2018 年攻击趋势概览 . 2 第二章 2018 年挖矿木马详解 . 5 一、挖矿木马攻击目标分布 . 5 二、挖矿木马使用漏洞一览 . 5 三、挖矿木马使用的攻击技术 . 6 （一）横向移动 . 6 （二）Living off the land . 7 （三）Fileless . 8 （四）代码混淆技术 . 9 四、挖矿木马收益分析及未来获利方式预测 . 10 第三章 2018 年挖矿木马家族典型 . 14 一、WannaMine（GhostMiner、PowerGhost） . 14 二、Mykings（隐匿者） . 16 三、

3、“8220”组织 . 18 四、bulehero . 20 五、MassMiner . 22 六、ArcGISMiner . 24 第四章 总结 . 25 参考文章 . 26 1 前言前言 挖矿木马是一类通过入侵计算机系统并植入挖矿机赚取加密数字货币获利的木马， 被植 入挖矿木马的计算机会出现 CPU 使用率飙升、系统卡顿、部分服务无法正常使用等情况。 挖矿木马最早在 2012 年出现，并在 2017 年开始大量传播。 2018 年， 挖矿木马已经成为服务器遭遇的最严重的安全威胁之一。 360 互联网安全中心 对挖矿木马进行了深入研究分析和长期攻防对抗，在这一年，360 安全卫士平均每日拦截针

4、 对 Windows 服务器的挖矿木马攻击超过十万次，时刻守卫 Windows 服务器安全。本文将依 据我们掌握的数据， 总结2018年Windows服务器遭遇的挖矿木马威胁， 并对2019年Windows 服务器下挖矿木马发展趋势进行分析评估（注：下文提到的“挖矿木马”均指针对 Windows 服务器的挖矿木马） 。 2 第一章第一章 2018 年攻击趋势概览年攻击趋势概览 2018 年，Windows 服务器遭到的挖矿木马攻击呈现先扬后抑再扬的趋势。2018 年上半 年，针对 Windows 服务器的挖矿木马呈现稳步上升趋势，并在 2018 年 7 月左右达到顶峰。 之后挖矿木马攻击强度减

5、弱， 部分挖矿木马家族更新停滞， 直到 2018 年 12 月， WannaMine、 Mykings 等大型挖矿僵尸网络再次发起大规模攻击，针对 Windows 服务器的挖矿木马攻击 才再次出现上升趋势。2018 年针对 Windows 服务器的挖矿木马攻击趋势如图 1 所示。 图 1 2018 年针对 Windows 服务器的挖矿木马攻击趋势 在 2018 年初，挖矿木马攻击的上升趋势是 2017 年末挖矿木马爆发的延续。2017 年 12 月，“8220”组织使用当时还是 0day 状态的 Weblogic 反序列化漏洞（CVE-2017-10271）入侵 服务器并植入挖矿木马1，引起一

6、波不小的轰动。之后，更多黑产从业者将目光投向服务器 挖矿领域。据 360 互联网安全中心统计，2018 年上半年针对 Windows 服务器的挖矿木马家 族呈逐月上升趋势，最高时每月有 20 余个成规模的挖矿木马家族。 3 图 2 2018 年针对 Windows 服务器的挖矿木马家族数量变化 不过到了 2018 年下半年， 挖矿攻击趋势有所下降， 挖矿木马家族数量也仅仅保持稳定， 不再呈现类似于上半年的增长趋势。出现这种情况的原因之一，在于 2018 年下半年披露的 Web 应用远程代码执行漏洞相比较上半年要少得多，挖矿木马缺少新的攻击入口；另外由 于虚拟货币的波动， 下半年针对服务器的挖矿