压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2018年，區塊鏈項目在這一年上演著冰與火之歌，年初火爆的比特幣在一年時間內跌去八成。除了巨大的市場波動之外，區塊鏈領域本身的安全問題也逐漸凸顯，與之相關的社會化問題不斷顯現。

“勒索”、“盜竊”、“非法挖礦”是區塊鏈項目數字加密貨幣的三大安全威脅，其中云主機用戶面臨的首要安全問題是非法挖礦。

非法挖礦一般分為基于文件的挖礦和基于瀏覽器的挖礦。由于云主機用戶一般不使用瀏覽器訪問網頁，故基于瀏覽器的挖礦在公有云上并非較大的威脅。

反之，云上基于木馬文件的入侵挖礦事件層出不窮，黑客通過用戶云主機上的通用安全問題入侵并進行挖礦來直接獲取利益，使得用戶 CPU 等資源被耗盡，正常業務受到影響。這些被黑客利用的通用問題往往是由于用戶缺乏安全意識而導致的。

騰訊安全云鼎實驗室通過對云上挖礦木馬的網絡、文件、進程關聯分析，在日常的安全對抗中，發現了大量黑客嘗試入侵挖礦的行為。對此類行為的特征進行統計分析，將樣本、惡意行為加入相關安全產品的規則庫和算法模型，并進行有效地遏制和打擊。本文對云上入侵挖礦行為共性進行了統計分析，幫助用戶對挖礦行為進行防御，從而更好地保障騰訊云用戶安全。

一、幣種分析（挖礦目標分析）

對于云上挖礦，首要的話題是黑客入侵挖礦的目標，即挖礦幣種。經過分析，云上黑客入侵挖礦的行為均采用礦池挖礦的形式，其主要特征是對礦池地址進行有規律地訪問。云鼎實驗室通過對礦池地址進行統計和歸類，發現云上入侵挖礦幣種主要是門羅幣(XMR)、氪石幣(XCN)和以利幣(ETN)。

究其原因，早期的幣種如比特幣、萊特幣等，其算法設計中挖礦行為的本質是進行重復的計算工作，而 CPU 不擅長并行運算，每次最多執行十幾個任務，挖礦效率極低，黑客難以利用。相對而言， 顯卡GPU 是數以千計的流處理器，一些頂級顯卡挖礦效率是 CPU 的上百倍，所以傳統的挖礦方式一般采用顯卡 GPU 挖礦。而門羅幣和以利幣等第二代虛擬貨幣采用了 CryptoNight 算法，此種算法特別針對 CPU 架構進行優化，運算過程中需要大量的暫存器，不再依賴于GPU挖礦，且也沒有對應的ASIC，于是黑客在入侵云主機之后更多會選擇消耗機器 CPU 資源挖礦來直接獲得利益，所以門羅幣等幣種可在以CPU 為主的云平臺上流行。

在過去的一年中，即使門羅幣價格一路下行，也擋不住黑客的熱情，進一步對挖礦行為趨勢的統計發現，公有云上門羅幣挖礦的行為數量不僅沒有下降，反而還在下半年持續攀升。

門羅幣是匿名貨幣，其地址、交易金額、交易時間、發送方和接收方等信息完全隱匿，難以查詢與追蹤。因為黑客植入挖礦程序是違法行為，使用門羅幣，就算發現主機被植入挖礦木馬，也無法通過挖礦的地址、交易等信息查詢到黑客的行蹤。

云鼎實驗室通過對數字貨幣的價格走勢和挖礦熱度進行關聯，嘗試對幣種價格與挖礦熱度進行分析，發現挖礦的熱度與幣種價格成正比關系（部分高價值幣，比如門羅幣，由于其本身持續存在的價值，不受此規律影響）。

對以利幣的價格走勢觀察發現，其從1月中旬開始就呈下降趨勢：

對以利幣對應礦池的訪問數據觀察發現，其訪問量也呈下降趨勢，下半年已經基本無人問津，如下圖：

所以整體觀察可以發現，黑客入侵挖礦選擇的幣種與幣種價值有關，對小幣種的選擇在一定程度上取決于其價格，挖礦熱度與幣種價格成正比；高價值的幣種由于其持續存在的價值，不受此規律影響。

由于云主機的計算資源以CPU為主，黑客通過漏洞入侵用戶機器選擇的幣種具有統一的特性，這些幣種的算法主要以 CryptoNight 為主，可以直接使用 CPU 挖礦，不依賴于 GPU 就產生較大的效益。

二、礦池分析

對黑客的挖礦方式進一步分析發現，云上黑客入侵挖礦主要采用礦池挖礦的方式。

隨著數字貨幣的火熱，越來越多的人力和設備投入到各種幣種的挖礦，導致各種幣種的全網運算水準呈指數級別上漲，單個設備或者少量算力都難以獲得區塊獎勵；而礦池挖礦是一種將不同少量算力聯合運作的方式，以此提升獲得區塊獎勵的概率，再根據貢獻的算力占比來分配獎勵。相比單獨挖礦，加入礦池可以獲得更穩定的收益，因此眾多的礦工均采用礦池挖礦，黑客亦如此。以下為云上黑客入侵挖礦使用主要礦池列表：

通過對礦池地址進行歸類統計發現，黑客入侵后挖礦使用最多的礦池為minexmr.com。如下圖，該礦池算力在全網門羅幣礦池中排名第三。

門羅幣目前全網算力(Hashrate)約為460MH/s，xmr.nanopool.org 就達到99.79MH/s，提供了門羅幣20%以上的算力；pool.minexmr.com 達到62.78MH/s提供了門羅幣13.6%的算力; xmr.pool.minergate.com 的算力也達到26.50MH/s；這些均是云上黑客入侵挖礦使用的主要礦池，意味著云上存在漏洞而被入侵挖礦的機器就是其中的礦工，是這些算力的貢獻者。

而國內自建礦池也不甘示弱，皮皮蝦、一路賺錢、和魚池(ppxxmr.com,yiluzhuanqian.com,f2pool.com)受歡迎的程度分別排名第三、第四、第九。

云鼎實驗室對挖礦常使用端口統計發現，5555、7777、3333等罕見端口常被用作礦池連接的端口，其中45700、45560則為 minergate.com 指定過的礦池端口。

黑客使用的特定礦池地址和端口就是其進行入侵挖礦惡意行為的特征之一，正常的服務器并不會對這些礦池地址和罕見端口進行連接訪問。通過對礦池地址和端口進行統計，用戶可以采用流量抓包等方式針對性地檢查自己的云主機是否中招，甚至可以在不影響業務的前提下直接屏蔽對應礦池的訪問，也可在一定程度上起到防護的作用。

三、漏洞利用入侵與溯源分析

云鼎實驗室對黑客入侵挖礦行為的攻擊方式進行統計分析，發現云上入侵挖礦的行為中，黑客在選擇攻擊目標和入侵方式上也存在一定的共性。

下圖為云鼎實驗室對 xmr.pool.minergate.com 影響機器數量在一定時間內進行的分布統計。

下圖為cpuminer-multi.exe礦機的新增情況，cpuminer-multi.exe啟動時一般會請求上述的礦池地址。

對比以上兩張圖，可以發現在2018年4月15日和6月18日，cpuminer-multi.exe 礦機均出現了突增，對應時間點的 xmr.pool.minergate.com 礦池連接數量也出現了增加，而這些時間點基于云鼎實驗室日常的事件和響應統計，均出現過大批量的通用安全問題的利用情況。

通過對歷史捕獲挖礦案例的分析發現，云上挖礦通常是一種批量入侵方式，這種批量入侵的特性，使得黑客只能利用通用安全問題，比如系統漏洞、服務漏洞，最常見的是永恒之藍、Redis未授權訪問問題等。

云上入侵挖礦行為的感染和挖礦方式主要分為兩種類型，其中一種類型是在病毒木馬主體中直接實現相關的掃描、利用、感染和挖礦功能，如下圖對某木馬逆向可見錢包地址和礦池地址直接硬編碼在程序中：

而另一種方式則是利用獨立的挖礦程序，這些挖礦程序一般是來自開源程序，比如 xmrig 項目 （https://github.com/xmrig/xmrig），?這類挖礦一般會在入侵后先植入 bash 或者 VBScript 腳本等，再通過腳本實現對挖礦程序的下載或者其他掃描利用程序的下載，同時通過參數指定礦池和錢包地址，以下就是其中一個 VBScript 腳本內容和啟動的挖礦進程：

其中主流方式是直接啟動挖礦程序進行挖礦。通過分析礦機常用的進程，也可以得到印證：

影響最大的 minerd 出自?https://github.com/pooler/cpuminer

Windows上的 cpuminer-multi.exe 礦機源于https://github.com/tpruvot/cpuminer-multi

而 kworkers、kappre、xmrig.exe 等均編譯自https://github.com/xmrig/xmrig

集成開源礦機挖礦只需要一條命令，使得黑產行業越來越多的使用此種形式來進行挖礦。

進一步嘗試統計黑客身份，針對部分數據進行進程的命令參數分析統計，提取其中挖礦錢包地址用戶名發現，云上挖礦行為聚集狀態，大量被黑的云主機礦機掌握在少量的黑客團伙/個人手中（其中郵箱是 minergate.com 的用戶名）。

總結黑客的入侵挖礦行為發現，存在通用安全漏洞（如永恒之藍）的云主機成為黑客主要的入侵目標，黑客通常采用批量掃描通用安全問題并入侵植入挖礦程序的方式進行惡意挖礦。一些傳統企業、政府機構等行業的機器被入侵挖礦現象尤為顯著，主要原因是這些行業的云主機由于維護人員缺乏安全意識，容易存在漏洞，甚至長期不登錄云主機，更是變向給黑客提供了長期礦機，這些存在安全問題的云主機也是云上挖礦等惡意行為肆意繁衍的溫床。所以提升安全意識，避免在云主機中引入漏洞，發現漏洞后及時修復是防止被黑客入侵挖礦的唯一方法。

四、安全建議

基于以上云鼎實驗室對云上入侵挖礦主要特征的總結，可以發現黑客入侵挖礦的主要目標是存在通用安全漏洞的機器，所以預防入侵挖礦的主要手段就是發現和修復漏洞：

1)可以根據業務情況使用騰訊云安全組或者服務器自帶防火墻關閉非業務需要的端口，對于一些部署的服務，如無必要避免開放在外網上，即使因為業務需要開放，也應該限制訪問來源。

2)關注操作系統和組件重大更新，如 WannaCry 傳播使用的永恒之藍漏洞對應的 MS17-010，及時更新補丁或者升級組件。

3)為預防密碼暴力破解導致的入侵，建議更換默認的遠程登錄端口，設置復雜的登錄密碼，或者是放棄使用口令登錄，轉而使用密鑰登錄。

4)自檢服務器上部署的業務，有條件的話可以進行滲透測試，及早發現并修復業務漏洞，避免成為入侵點。

5)使用騰訊云云鏡等安全產品，檢測發現服務器上的安全漏洞并且及時修復。

另外，針對已經被入侵挖礦的情況，建議及時清理挖礦進程和惡意文件，同時排查入侵點并修復，從根本上解決問題。

五、附錄

1、部分幣種和礦池列表

以下為云上黑客入侵后挖礦的主要幣種和礦池列表：

2、部分挖礦程序樣本

a)94fc39140ffafbd360a4cabc64b62077

b)f068b7be8685c91bddbb186f6fad7962

c)367dc6e9c65bb0b1c0eb1a4798c5e55b

d)f594a17d37c70b0d18f33a3882e891a0

e)db87bd6bc3554e4d868b7176925dcff5

f)5b0b4ccea8b6636966610edc346fe064

g)8c9ab86572742d2323cee72ca2c0a3f2

h)367dc6e9c65bb0b1c0eb1a4798c5e55b

i)0d25d679b9845847b0c180715a52d766

3、部分錢包地址

a)4A7sJwfkFrWB88V8NiJ2Fi3RwsWkR48PQ5hG2qXq6hu2U7e8fcVLJ81WtTzHGdNChsejcygkvUGpbiiUX
AWXprWYHnBEvqC

b)43RhXdrqL26QFnZyWyC53pcyaxKDQZent24CXGRLZ6196h6DkpzT43ZA2C1SpZGLDddAfr6hEhwqXg7F8d
QpchFuDBz6Y6T

c)47bvN8Z4UVq6kLjMFo4AF5UkwFbdzdhvoKNj1EN6iTYA2BvSDAsbGoXNMNeSfZajhz6xqQHHhPqbrRacn
vELqrgyQYBqnXc

d)42h3ELK47SGe4jiit28qVvTRAwpnT1R3DZ7BEnQm3Jxe9wykcvLVoFd5GqpqepwGRrCbkyKJG4kg1hss
UztaVACVJGhpGAK

e)4AGF7tHM5ZpR7FRndiPMk6MxR1nSA8HnAVd5pTxspDEcCRPknAnFAMAYpw8NmtbGFAeiakw6rxNpabQ
2MyBKstBY8sTXaHr

本文作者：zhenyiguo、jaryzhou、youzuzhang @騰訊安全云鼎實驗室

騰訊安全云鼎實驗室關注云主機與云內流量的安全研究和安全運營。利用機器學習與大數據技術實時監控并分析各類風險信息，幫助客戶抵御高級可持續攻擊；聯合騰訊所有安全實驗室進行安全漏洞的研究，確保云計算平臺整體的安全性。相關能力通過騰訊云開放出來，為用戶提供黑客入侵檢測和漏洞風險預警等服務，幫助企業解決服務器安全問題。

原文鏈接：https://www.anquanke.com/post/id/169824