淺談無文件挖礦病毒分析與處理

潘 雪，楊英奎，劉春雪

（1.黑龍江省生態(tài)氣象中心,黑龍江 哈爾濱 150030；2.黑龍江省氣象數(shù)據(jù)中心，黑龍江 哈爾濱 150030）

1 引言

隨著社會的發(fā)展，互聯(lián)網(wǎng)技術(shù)越來越普及，在新興技術(shù)不斷出現(xiàn)的同時， 針對新技術(shù)的攻擊手段也頻發(fā)、升級和進化，借助于各種手段實施網(wǎng)絡(luò)安全威脅的介質(zhì)、方式和載體更是變化莫測，網(wǎng)絡(luò)安全形勢始終不容樂觀。 近年來，伴隨著加密貨幣交易市場的發(fā)展，以及加密貨幣的價值不斷提升，惡意挖礦攻擊已經(jīng)成為影響最為廣泛的一類網(wǎng)絡(luò)安全威脅， 影響著各大國家機關(guān)和企事業(yè)單位以及個人用戶。

2 挖礦病毒

2.1 挖礦

挖礦本身并不是一種惡意行為， 對于比特幣挖礦來說，它是一種計算行為，即利用硬件資源在比特幣網(wǎng)絡(luò)中進行科學計算， 通過計算得出的結(jié)果來獲得相應(yīng)的報酬，此報酬即比特幣。 隨著電子貨幣的種類越來越多，挖礦的幣種也在不斷拓展，挖礦的形式和算法也在不斷演進。 最初， 挖礦行為主要利用CPU、GPU 等資源進行， 這些硬件資源的成本比較低。 后來，隨著加密貨幣市場逐漸擴大，人們已經(jīng)不滿足于利用這些硬件資源進行挖礦， 而是開始設(shè)計出各種專業(yè)的挖礦工具， 比如可編程陣列等進行挖礦，這種專業(yè)的挖礦工具大幅度提升了挖礦速度[1-3]。

2.2 惡意挖礦

惡意挖礦也叫加密劫持。 加密劫持是一種在未經(jīng)其同意或不知情的情況下，使用人類設(shè)備（電腦、手機、平板或者服務(wù)器）來秘密開采受害人資源從而獲取加密貨幣的行為。 攻擊者沒有建立專用的加密礦計算機， 而是使用加密劫持從受害者的設(shè)備中竊取計算資源。 當所有這些資源加在一起時，攻擊者就可以與復雜的加密采礦操作進行競爭， 而無須付出昂貴的開銷[4-8]。

當前惡意挖礦程序主要的形態(tài)分為兩種： 第一種是基于開源的挖礦代碼的定制化挖礦程序，如XMRig, CNRig, XMR-Stak。 其中XMRig 是一個開源的跨平臺的門羅算法挖礦項目， 其主要針對CPU 挖礦，并支持38 種以上的幣種。 由于其開源，跨平臺和挖礦幣種類別豐富， 它已經(jīng)成為各類挖礦程序的核心。 第二種是嵌入惡意JS 腳本的挖礦網(wǎng)站。 網(wǎng)站被植入惡意挖礦腳本后， 會利用瀏覽該網(wǎng)站的用戶計算機資源進行挖礦獲利。 最常見的挖礦網(wǎng)站家族有Coinhive,Jsecoin 等[9]。

3 病毒分析與處理

以無文件挖礦病毒案例， 介紹病毒分析處理過程。

3.1 中毒現(xiàn)象

服務(wù)器受無文件挖礦病毒侵害表象為服務(wù)器操作卡頓嚴重，CPU 利用率高達100%；出現(xiàn)多個PowerShell 進程，且手動結(jié)束進程后會自動恢復；常規(guī)殺毒軟件無任何安全提醒，使用HIPS 殺毒軟件可追蹤異常操作。

3.2 分析處理過程

(1)經(jīng)檢查發(fā)現(xiàn)CPU 資源占用過多，對進程逐一排查確定是由于PowerShell 進程導致。 在任務(wù)管理器內(nèi)對其手動結(jié)束進程， 等待片刻后PowerShell 進程又再次出現(xiàn)，因此判斷其存在自動啟動的情況。 鑒于處理期間未重啟電腦， 故檢查任務(wù)計劃程序是否正常。 依次點擊開始- 所有程序- 管理工具-任務(wù)計劃程序， 在右側(cè)的操作列表中發(fā)現(xiàn)系統(tǒng)已禁用所有任務(wù)歷史記錄， 并在左側(cè)的任務(wù)計劃程序中出現(xiàn)多個異常命名的計劃任務(wù)。 點擊頂部的操作顯示所有正在運行任務(wù)， 查看當前計劃任務(wù)中的運行情況。

(2)經(jīng)排查確認在任務(wù)計劃程序列表內(nèi)出現(xiàn)6 個異常命名的計劃任務(wù)， 安全選項設(shè)定為不管用戶是否登錄都要運行計劃任務(wù)。 具體操作為啟動Power-Shell 程序并執(zhí)行命令， 觸發(fā)器均為觸發(fā)后無限期間隔1 小時運行。 逐步排查確認全部異常的計劃任務(wù)列表， 并確認它們的創(chuàng)建起止時間：2020-04-03 16:52:00 - 2020-04-03 16:53:31 為同一時段。 對上述異常計劃任務(wù)進行導出留存， 導出完成后對其進行刪除處理。

(3)刪除完成后再次打開任務(wù)管理器，對異常的PowerShell 進程進行結(jié)束進程操作， 再次檢查CPU使用率時確認已恢復正常狀態(tài)。 通過上述排查確認，該行為通過計劃任務(wù)執(zhí)行PowerShell 腳本實現(xiàn)無文件挖礦。

(4)對已獲取的6 個.xml 格式的計劃任務(wù)文件進行分析匯總， 除了在計劃任務(wù)創(chuàng)建時間以及計劃任務(wù)啟動時間略有差異外， 均使用PowerShell 作為啟動程序，執(zhí)行不同的命令。 針對6 條獲取的PowerShell 執(zhí)行命令進行分析匯總， 可判斷出其通過hosts 文件將域名解析至指定的IP 地址。 編輯hosts文 件 確 認 文 件 已 被 修 改， 僅 留 下66.42.43.37 yQtl2uoaKi.jp 一條記錄。

因此獲知PowerShell 執(zhí)行命令從下述的6 個地址內(nèi)獲取執(zhí)行腳本：

http://t.tr2q.com/x.jsp?eb_20200403

http://t.awcna.com/x.jsp?eb_20200403

http://t.amynx.com/x.jsp?eb_20200403

http://BnbqKXaeotF.cn/w.jsp?eb_20200403

http://yQtl2uoaKi.jp/w.jsp?eb_20200403

http://kwC0HVZGv.kr/w.jsp?eb_20200403

通過Ping 和Whios 確認， tr2q.com、awcna.com、amynx.com 三個域名真實存在，但已禁Ping 。而另外三個域名均是虛假地址， 使用Hosts 地址表內(nèi)的66.42.43.37 IP 進行通信，通過IP 查解析域名獲知該IP 綁定過域名t.awcna.com 和p.awcna.com 與上述結(jié)論得到證實， 因此推斷上述地址實質(zhì)上均是通過66.42.43.37 下載同一文件， 攔截該地址即可阻斷下載。

(5)請求上述地址即可獲得x.jsp 文件，從內(nèi)容看代碼已進行加密混淆。 從攻擊過程上看可能為通過系統(tǒng)漏洞攻擊進入計算機系統(tǒng)， 成功入侵目標計算機后， 通過執(zhí)行PowerShell 加載下一階段的后門或木馬。

無文件挖礦病毒利用永恒之藍等漏洞進行傳播，可對弱命令的RDP 進行爆破攻擊，了解其傳播方式后關(guān)閉相應(yīng)端口，對系統(tǒng)進行加固和防護。 具體操作為： 啟用防火墻添加135、137、138、139、445、65529 TCP/UDP 出入站特定端口； 檢查計劃任務(wù)中的異常計劃任務(wù)并刪除， 結(jié)束進程中PowerShell 全部進程，更新系統(tǒng)安裝微軟官方提供的漏洞補丁；安裝HIPS 安全軟件（火絨安全），對系統(tǒng)進行防護，開啟注冊表防護、以及敏感動作防護，攔截執(zhí)行Power-Shell 可疑操作。

4 結(jié)論

本文介紹了挖礦病毒， 并通過實例對挖礦病毒的分析與處理過程進行了詳細的描述， 得出了針對挖礦病毒的防御策略。 本文介紹的方法可為分析處理挖礦病毒提供參考。