图解Windows平台挖矿木马攻击趋势

“挖矿木马2012年的安全威胁，从1展示了2018年上半年依旧保持迅猛的发展速度，本文将通过2018年下半年的攻击趋势。（注：本次提到的挖矿木马攻击，不包括网页挖矿攻击）

图1-2018年上半年每月遭到挖矿木马攻击的计算机数量变化趋势

Windows平台挖矿木马呈缓慢下降趋势

图2展示了8月中旬达到最高峰之后，攻击开始呈现缓慢下降趋势，10月之间更新缓慢甚至停止更新。以Mykings入侵时所使用的8月、Mykings的网络扩建基本停滞。

图3-Mykings僵尸网络Download URL列表

关注漏洞PoC的 不只有安全行业人员

而造成挖矿木马攻击数量下降另一个原因可能是2018年下半年公开的影响POC相比较上半年和去年要少得多。表2018年以来较常被挖矿木马家族利用的POC（漏洞概念验证）几乎都是5月之前公开的，POC被公开，也就很难被挖矿木马家族所使用。没有新的漏洞利用加入将导致挖矿木马家族更新速度减缓，而老漏洞被修补也会使得挖矿僵尸网络”。

表1-2018年被挖矿木马所利用的POC的公开对挖矿木马的影响可以由图4展示了2018年2018年WannaMine家族攻击计算机数量在Weblogic反序列化漏洞POC也正是在这个时候被公开。果不其然，国外安全厂商WannaMine家族在POC公开的数小时之后开始利用该漏洞进行攻击（Web应用漏洞2018年-5月攻击趋势

有趣的是，加密货币的价格与挖矿木马的攻击趋势并无明显关联。以绝大多数挖矿木马选择的币种门罗币为例。如图5所示，门罗币兑美元价格在2018年开始快速跌落。但这并没有阻止挖矿木马的爆发，在这段时间挖矿木马反而发展迅猛。而2017年-2018年——攻击不会造成太大动静、法律风险也相对较低。因此攻击者更看重的可能是挖矿木马的这些优点，而非加密货币的价格。

Windows服务器挖矿木马仍占多数6展示了针对PC的挖矿木马在数量上的对比，针对80%。攻击者将目光集中于——服务器的性能大部分要远高于个人电脑，并且服务器大多是”的，挖矿木马可以长期潜伏。

图6-针对PC的挖矿木马数量对比

不过这并不代表针对PC的挖矿木马可以被忽视。针对OnesystemCareMiner、7展示了针对PC的挖矿木马主要传播渠道分布

挖矿家族之间竞争激烈

在针对Windows服务器的挖矿木马家族中，具有僵尸网络性质的家族控制较多的设备，而不具备僵尸网络性质的家族只能在每次新的漏洞85%的资源，这是不具有僵尸网络性质的挖矿木马家族的将近WannaMine、——15%左右的资源被数十个家族瓜分，这也加剧了家族之间的竞争。

在这种恶劣的竞争环境下，挖矿木马家族就需要一些特殊的技能让自己生存下来。“8220”组织就是具备这类技能的家族，除了在攻击代码中增加对抗其他挖矿家族的模块之外，9所示，在5月初更新载荷下载“8220”家族虽然不具有僵尸网络性质，但其仍然能将受害机器控制在手中。

图9-“8220”挖矿木马家族”，将会有更多攻击者加入这场资源争夺战中，不过资源只留给有准备的人，大多攻击者会渐渐消失在这个舞台上。

横向渗透是Mimikatz和”的天下

对于具有横向渗透功能的挖矿木马家族，Mimikatz和”漏洞几乎是所有这类家族所使用的武器。这些家族中将近“永恒之蓝30%的家族带有10所示。

图10-使用“永恒之蓝“Satan”勒索病毒的国内传播者在多次折戟勒索战场之后，也加入了挖矿争夺战中。从图“Satan”家族在28日出现了一次小爆发，在这次爆发中，IOC见表IOC

挖矿木马防护建议

1. Windows服务器挖矿木马防护建议：

（1） 及时为系统打补丁。避免漏洞攻击；
（2） 及时更新Windows登录密码以及<span style="font-family:"">Web应用、数据库登录密码，防御弱口令爆破攻击；
（4） 安装杀软软件或服务器安全软件防御挖矿木马攻击。

2. PC挖矿木马防护建议：

（1） 及时为系统打补丁。避免漏洞攻击；
（2） 不打开来历不明的文档，以及带有图片、文件夹、文档、音视频等图标的文件；
（3） 不浏览被安全软件提示为恶意的站点；
（4） 不安装来历不明的软件、外挂等，不打开被安全软件标记为恶意的文件；
（5） 安装杀毒软件防御挖矿木马攻击。

转自 安全牛   作者 aqniu