1. 概述

挖矿木马是通过各种手段将挖矿程序植入受害者的计算机中，在用户不知情的情况下，利用受害者计算机的运算力进行挖矿，从而获取非法收益。目前有多个威胁组织（例如H2Miner）传播挖矿木马，致使用户系统资源被恶意占用和消耗、硬件寿命被缩短，严重影响用户生产生活，阻碍社会发展。2021年，安天CERT发布了多篇针对挖矿木马的分析报告，现将2021年典型的挖矿木马进行了梳理，形成家族概览，进行分享。

1. 大量消耗计算机资源：挖矿木马普遍消耗大量系统资源，使系统及其服务、应用软件运行缓慢，甚至可能使正常服务崩溃，造成数据丢失；
2. 降低计算机设备性能和寿命：被植入挖矿木马的计算机寿命普遍较短，而且设备性能严重下降；
3. 浪费能源，增大碳排放量：挖矿木马挖矿会消耗大量的电，造成巨大的能源消耗，而现阶段电能的主要来源是煤炭，加剧碳排放污染；
4. 留置后门，衍生僵尸网络：挖矿木马普遍具有添加SSH免密登录后门、安装RPC后门，接收远程IRC服务器指令、安装Rootkit后门等；
5. 作为攻击跳板，攻击其他目标：挖矿木马可以控制受害者服务器进行DDoS攻击，以此服务器为跳板，攻击其他计算机，或者释放勒索软件索要赎金等。

• 挖矿币种：2021年大部分挖矿组织倾向于挖取门罗币，主要有以下几种原因：首先是门罗币是无法追踪的强匿名性货币；其次门罗币的挖矿算法利用CPU的挖矿效率更高，一般僵尸网络掌握的“肉鸡”普遍不具备高性能，也就是没有显卡（即缺少高性能显卡），所以为了获取更多的挖矿收益，挖取门罗币成为攻击者首选；最后，在比特币挖取难度日益增大的背景下，门罗币在虚拟货币市场价格保持稳定，相较于挖取比特币，挖取门罗币所带来的价值更高，其对应挖矿收益也更加稳定。
• 竞争性：通过检测并结束具有竞争性的其它挖矿木马的进程，独占目标主机的计算资源。
• 持久性：通过添加计划任务、创建服务、设置自启动、RootKit等手段实现长期驻留目标系统。
• 隐蔽性和对抗性：通过进程隐藏、命令替换、进程互锁等方式，实现对抗排查和处置。
• 针对性：针对各云服务提供商在云主机上运行的安全检测程序，通过在脚本文件中添加能够将其结束并卸载的恶意代码，以此规避各云主机的安全检测。除此之外，部分挖矿木马利用扫描工具对某一或多个云服务提供商的IP地址段进行探测，如云铲、H2Miner等。
• 集成性：挖矿木马除了具备核心的挖矿功能模块，还集成有端口扫描、漏洞利用、后门等相关组件，实现横向传播、广泛传播、构建僵尸网络，如Outlaw。
• 跨平台性：通过Web组件漏洞利用，结合恶意的PowerShell、Shell等脚本，以及Python、Go语言编写的恶意程序，实现跨平台运行挖矿木马，如Sysrv-Hello、Satan DDoS等。

4.1 Outlaw

Outlaw僵尸网络首次被发现于2018年11月，当时其还只是一个通过漏洞入侵IoT设备和Linux服务器并植入恶意程序组建僵尸网络的组织，主要从事DDoS攻击活动，在暗网中提供DDoS出租服务。在后续的发展过程中，受虚拟货币升值影响，也逐步开始在僵尸网络节点中植入挖矿木马，并利用僵尸网络对外进行渗透并扩张，获得更为庞大的计算资源，旨在挖矿过程中获取更多的虚拟货币。

4.1.1  家族概览

4.1.2 典型案例

• Outlaw凌晨突袭云主机

2021年7月28日凌晨，Outlaw僵尸网络对大量云主机发起攻击并植入僵尸网络程序，被感染主机中存在大量SSH暴力破解记录，且被植入挖矿程序、写入SSH公钥。

4.2 Tor2Mine

Tor2Mine挖矿组织从2018年开始出现，以擅长挖取加密货币和提供恶意软件而闻名，该组织曾部署过其他恶意软件，包括信息窃取恶意软件AZORult、远程访问工具Remcos、DarkVNC后门木马和窃取剪贴板上的加密货币数据盗取更多钱。Tor2Mine名字的由来是因为在某些变种中使用了Tor网关与虚拟货币的C2服务器进行通信，因此叫做Tor2Mine。在2021年，Tor2Mine变得非常活跃，使用 PowerShell脚本尝试禁用安全软件、执行挖矿程序并执行Mimikatz远程脚本获取Windows凭据以获得管理权限。使用这些窃取的凭据，Tor2Mine可以主动传播，如果没有完全清除或者没有安全软件保护，它将继续侵害受感染网络上的其他系统。

4.2.1 家族概览

4.2.2 典型活动

• 研究人员发现Tor2Mine挖矿组织使用新变种开始传播

2021年12月，研究人员发现Tor2Mine使用新变种开始传播，Tor2Mine使用 PowerShell脚本尝试禁用安全软件、执行挖矿程序并获取Windows凭据。使用这些窃取的凭据，Tor2Mine 可以主动传播，如果没有完全清除或者没有安全软件保护，它将继续侵害受感染网络上的其他系统。

4.3 H2Miner

H2Miner挖矿木马最早出现于2019年12月，爆发初期及此后一段时间该挖矿木马都是针对Linux平台，直到2020年11月后，开始利用WebLogic漏洞针对Windows平台进行入侵并植入对应挖矿程序。此外，该挖矿木马频繁利用其他常见Web组件漏洞，入侵相关服务器并植入挖矿程序。例如，2021年12月，攻击者利用Log4j漏洞实施了H2Miner挖矿木马的投放。

4.3.1 家族概览

4.3.2 典型案例

• 2021年春节期间H2Miner挖矿团伙利用多个漏洞武器攻击云上主机

2021年春节期间，H2Miner挖矿团伙趁春节假期安全运维相对薄弱，利用多个漏洞武器攻击我国云上主机，并利用失陷主机实施挖矿，大量消耗受害主机CPU资源，严重影响了相关主机正常服务运行。

4.4 Satan DDoS

Satan DDoS是一个具备DDoS和投放挖矿程序的僵尸网络，恶意软件的作者将他们的恶意软件称之为“Satan DDoS”，为了区别于Satan勒索软件，Unit42研究人员将其称为“Lucifer”。该僵尸网络最早出现时间是在2020年5月29日，初期利用CVE-2019-9081漏洞入侵具备Laravel Framework 5.7.x版本组件的服务器，植入挖矿程序和僵尸网络程序，实现僵尸网络的组建，形成庞大的挖矿和对外DDoS攻击的能力。在后期，该僵尸网络该利用多个漏洞和暴力破解传播挖矿程序和扩展僵尸网络。

4.4.1 家族概览

4.4.2 典型活动

• 爆发初期使用CVE-2019-9081漏洞传播

2020年5月29日，Unit 42研究人员从大量CVE-2019-9081漏洞利用事件中，发现一个具备挖矿功能和DDoS攻击的恶意样本，研究人员监测到此次恶意样本传播活动于2020年6月10日停止。

• 针对云主机的攻击活动

2021年6月，Satan DDoS僵尸网络利用Shiro1.2.4反序列化漏洞对云主机发起的攻击活动，新增了针对Linux服务器的攻击能力，意图传播自身，扩展僵尸网络，提升DDoS攻击和大规模挖矿能力。

4.5 Sysrv-hello

Sysrv-hello挖矿木马最早被发现于2020年12月3日，初始样本感染大量服务器，经变种传播，一直持续至今。该挖矿木马具备多种功能，如端口扫描功能，Linux网关探测功能，WebLogic、Tomcat、MySQL等应用的RCE漏洞利用功能，植入挖矿木马功能。

4.5.1 家族概览

4.5.2 典型案例

• Sysrv-hello新增传播能力，通过感染网页传播挖矿程序

Sysrv-hello新变种于2021年4月20日开始传播，经分析确认，新变种能够在目标系统上检查是否存在相关网页文件或网站目录，以此判定系统是否提供Web服务。若目标系统提供Web服务，则将挖矿木马移动至对应路径中，并修改其中的网页文件，实现用户访问该网页时下载并执行该挖矿木马，进一步扩展挖矿木马传播范围。

4.6 云铲

2021年2月，安天CERT在网络安全监测中发现一起针对Linux系统挖矿木马事件。经分析研判，该挖矿木马自身中硬编码了一段某云平台网段IP地址，并对该网段IP地址进行22端口弹出和暴力破解，基于其攻击特性，安天CERT将该挖矿木马命名为“云铲”。

4.6.1 家族概览

4.7 HolesWarm

HolesWarm是一个跨平台的蠕虫病毒，最早爆发于2021年6月，在一个月时间内使用了20多种漏洞对目标系统进行漏洞利用并植入挖矿木马。该蠕虫病毒使用的漏洞覆盖的组件和应用较多，这些组件和应用在国内使用频繁。如用友，致远等OA办公软件和Tomcat、WebLogic、Shiro、Structs 2等组件。

4.7.1  家族概览

4.7.2 典型案例

• 挖矿木马中的漏洞利用之王

2021年6月上旬以来，在近一个月时间内，一个蠕虫病毒迅速传播扩散并植入挖矿木马。在此期间利用漏洞多达20余种，漏洞利用的对应软件包括用友、致远等OA办公软件，及其它Tomcat、WebLogic、Structs 2、Spring等组件，以至于被业界称之为“漏洞利用之王”，该挖矿木马同时也被命名为“HolesWarm”。