1、2020 挖矿木马年度报告 一、摘要 2020 年各类数字加密货币价格迎来暴涨，比特币价格一度超过 5 万美元/BTC，市值达到 9200 亿美元，是 2019 年底的 10 倍之多，达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长 6 倍，这意味着黑客通过进行门罗币挖矿，兑现后收益可达到以往收益的 6 倍。在如此大利益诱惑之下，黑产团伙已闻风而动，纷纷加入了对主机计算资源的争夺。一个典型现象就是，有大量挖矿木马在运行时，会尝试清除竞争对手木马。门罗币价格曲线（数据来源：）根据腾讯安全威胁情报中心的检测数据，2020 年挖矿木马上升趋势十分明显。2020 年挖矿木马增长趋势 本报告以

2、腾讯安全产品获取的安全事件告警工单数据为基础，统计分析得出 2020年挖矿木马的活跃家族 TOP 榜，从挖矿木马主要入侵特点、漏洞利用偏好、持久化运行手段等方面展示其主要威胁，预测未来挖矿木马攻击可能呈现的新趋势，给政企机构安全运维团队提供常见挖矿木马的防御清理建议。二、挖矿木马风险 1.整体情况 1.1 挖矿家族 TOP 榜 2020 年度挖矿木马家族排名前三的分别为 DTLMiner（永恒之蓝下载器木马）、H2Miner、GuardMiner，榜单中有通过永恒之蓝漏洞传播的为 DTLMiner、NSABuffMiner、NSAGluptebaMiner，有利用 Redis、Hadoop、W

3、eblogic、Drupal、thinkphp 等应用程序漏洞传播的为 H2Miner、GuardMiner、z0Miner、8220Miner 等家族，以及主要通过弱口令爆破进行传播的为 KoiMiner 家族。1.2 挖矿木马的危害 挖矿木马最容易被感知到的影响就是服务器性能会出现严重下降，从而影响服务器业务系统的正常运行，严重时可能出现业务系统中断或系统崩溃。如下图所示案例，H2Miner 挖矿木马运行时占用了 98%的 CPU 资源，系统性能已严重受损。其次，挖矿木马威胁事件往往伴随着攻击者组建僵尸网络。感染挖矿木马的同时，服务器已成为黑客控制的肉鸡电脑，除了硬件资源被浪费，黑客还可能

4、利用失陷主机对其他目标进行攻击，包括蠕虫式的横向攻击扩散、对特定目标进行 DDoS攻击、作为黑客下一步攻击的跳板隐藏攻击者线索或攻击真实意图、将失陷主机作为分发木马的下载服务器或 C2 服务器等等。第三，失陷主机可能造成信息泄露。攻击者入侵成功，很多情况下已获得服务器的完全权限，只要攻击者愿意，就可能盗取服务器数据，使受害企业面临信息泄露风险，攻击者也可能在服务器下载运行勒索病毒，随时可能给企业造成更加严重的破坏。第四，攻击者入侵安装挖矿木马的同时，还可能在服务器安装后门、服务和计划任务，实现对失陷主机的稳固长期控制。腾讯安全专家分析发现，较多挖矿木马威胁事件发生后，攻击者会添加管理员用户、安

5、装远程控制软件，以及为方便攻击者下次连接开放特定的网络端口。鉴于以上这些危害，我们建议政企机构安全运维人员高度警惕挖矿木马感染事件，挖矿可能仅仅是攻击者制造危害的第一步，极可能处于黑客入侵后危害最轻的阶段。2.挖矿木马入侵通道 2.1 利用漏洞攻击 远程代码执行漏洞（RCE）可以让远程攻击者直接向后台服务器远程注入操作系统命令或者恶意代码，从而控制后台系统，挖矿木马攻击时最常用的远程代码执行漏洞 TOP 统计如下：在 2020 年挖矿木马最常利用的 RCE 漏洞排行榜里，WebLogic CVE-2019-2725高居榜首。此外，还有各种未授权访问漏洞被攻击者利用。即需要安全配置或权限认证的地

6、址、授权页面存在缺陷导致攻击者可以直接访问，从而引发敏感信息泄露或恶意代码执行。挖矿木马攻击时常用未授权访问漏洞列表如下：未授权访问应用类型 开放默认端口 Redis 6379 Hadoop Yarn RESET API 8088 Docker Remote API 2375 Kubernetes 10255/10250 Jenkins 8080 XXL-JOB 9999 宝塔面板 phpMyAdmin 888 Apache Flink Dashboard 8081 PostgreSQL 5342 典型案例 案例 1：Z0Miner 利用公开仅 15 天的高危漏洞攻击挖矿 腾讯安全团队于 20