什么是“挖矿”？

“挖矿”是指对虚拟货币（如比特币Bitcoin）的开采。“矿工”可以使用计算机系统，根据算法来进行大量的哈希运算以开采虚拟货币，这个过程需要计算机不断进行运算，因此对于计算机硬件及电量消耗极大。一些人通过“挖矿”，积累一定的虚拟货币，可以实现收益的转换。例如比特币，因为和黄金一样总量有限，又被称为数字黄金，因此一直受人追捧，且“挖矿”者众多。

“挖矿”的形式

可以分为主动“挖矿”、被动“挖矿”和浏览器“挖矿”。

主动“挖矿”是计算机使用者主动运行“挖矿”程序，开展虚拟货币“挖矿”的行为。

被动“挖矿”通常是在计算机使用者不知情下，电脑被植入“挖矿”木马程序，而导致被远程控制所实施的挖矿行为。

浏览器“挖矿”是指黑客将“挖矿”木马嵌入到网页的JavaScript代码中，用户访问该页面后浏览器会立刻执行“挖矿”命令，该过程不需要请求任何权限，在用户关闭网页后“挖矿”程序仍可长时间保持运行。

黑客为什么要“挖矿”？

由于虚拟货币可以带来巨大收益（截至2022年8月1日，比特币价值为23422.21美元/枚，折合人民币约15.79万元），因此挖矿成为黑客赚钱的重要通道。根据瑞星公司2022年《7月份中国网络安全报告》显示，7月份瑞星“云安全”系统共截获挖矿病毒样本总体数量为47.43万个，排名第一的是Trojan.CoinMiner!1.C2B5，为23.91万个。

图：瑞星《7月份中国网络安全报告》挖矿病毒Top10

黑客“挖矿”的手段

由于“挖矿”对于计算机硬件、耗电量、运算速度有着极高的要求，因此黑客一般会选择企业服务器、PC或移动端设备作为下手对象，利用网页挂马，病毒传播等手段进行攻击，最终让这些设备沦为“矿机”，从而为自身牟取利益。

“挖矿”给企业带来的危害

“挖矿”会消耗大量计算资源，使企业系统、软件、应用服务运行缓慢，甚至可能使系统崩溃，造成数据丢失，同时企业服务器被“挖矿”程序控制，将造成数据泄露或感染病毒、传播等风险，容易引发更多的网络安全问题。

国内“挖矿”事件

2022年4月，有微博网友报料称，蔚来汽车内部发布一项处理通报显示，蔚来某集群服务器管理员张某利用职务之便，使用公司服务器资源挖虚拟货币。2020年5月，有不法分子利用漏洞入侵江西赣源科技有限公司服务器，来达到利用服务器算力为自己“挖矿”牟利的目的。2020年5月，英国、德国和瑞士的多台超级计算机感染了挖掘门罗币的挖矿程序，管理者关闭了这些超算对入侵事故展开调查，并重置了SSH密码以防止再次被入侵。

企业如何应对“挖矿”？

可以部署瑞星新一代导线式防毒墙，从网络入口处进行防御，该产品新增了“挖矿”检测功能，通过内置的挖矿网络行为规则库、CoinBlockerLists开源矿池库以及自定义矿池规则库，利用多维度深度检测技术，有效识别网络内的违规挖矿行为并进行阻断，避免挖矿木马病毒或程序潜伏网络内部。同时，“挖矿”检测功能还可以快速精确定位到内部挖矿主机及病毒感染主机，不仅防止内部人员挖矿，还能抵御挖矿病毒因感染、传播而造成的扩散性危害。


如何检测“挖矿”？

捕获.PNG (8.75 K)

2022-8-23 17:44:34

微信扫码观看挖矿检测演示视频

国家禁止“挖矿”行为

2021年9月国家发改委等十一个部门联合发布了《关于整治虚拟货币“挖矿”活动的通知》，要求全面排查虚拟货币“挖矿”行为，严肃查处整治违规虚拟货币“挖矿”活动。

2021年12月国家发改委修改了《产业结构调整指导目录（2019年本）》，在淘汰类的“落后生产工艺装备”中增加了“虚拟货币‘挖矿’活动”。至此虚拟货币“挖矿”活动被正式纳入淘汰类产业。

图：国家发改委发布关于整治虚拟货币“挖矿”活动的通知

第一次批量的实际接触到挖矿病毒，是2021年上半年，我这边整个市的很多医疗机构的涉及医保的网络和电脑很多都感染了挖矿病毒。

我在清理一批电脑里这个病毒的时候，有点不明白，对于村级卫生室社保卡刷卡结算的电脑，就一台单纯的电脑，接的是医保专门的宽带，如此封闭的环境下，这个病毒是怎么传播到那么大范围的。近乎每个乡镇都有村卫生室涉及医保结算的电脑感染相同挖矿病毒，期间接触不少卫生室电脑，该电脑都不存在使用移动存储设备的情况。因为那电脑就纯用于刷卡结算，无任何其他用途。

然后陆续市级医保中心通知全市各医疗机构，含村级卫生室，医保那边设备监测到大量的挖矿病毒的网络访问数据包。责令各家各级医疗机构尽快处理病毒。

可见各个县乡都传播了。

我手工清理病毒的过程中，也看了看，病毒主要就是通过永恒之蓝漏洞的攻击手段，通过445端口攻击。

可是想来想去，那些封闭的电脑是哪环节出问题的呢？移动存储设备肯定不是了。该病毒实机拿移动存储设备测试，不传染移动存储设备。

猜测还是通过医保的网络了，医保的网络可能某个时间段或某个环节存在可能漏洞。具体如何就不得而知了，我也接触不到医保中心和通讯公司的主网络设备。

这个病毒居然还进入了我工作的卫生院内部网络中，win10系统都无问题，7系统和XP系统都传染了不少，手工查找和清理中，也是利用对445端口抓包，看具体整个网络中有多少针对445端口的巨量数据访问的IP地址，找出来以后，全部断网手工清理病毒，也就解决问题了。

无外网的内部网络中，县乡级都是没有财力购买企业级杀毒软件全局部署的。那些有些官家或卫士以及其他杀毒软件的电脑因为没有外网，终年累月无法升级，也没有了云库的支持，也就对这个挖矿病毒没有反应。

可怜的。

期间有趣的是，我已经多年不摸病毒，第一次在班上见同事反馈说她工作电脑巨卡，去看了看，也无任何垃圾软件。观察确实巨卡顿，操作啥都慢死了。又没有外网，这啥名堂呢？习惯的开启任务管理器，粗略看，也没看出啥。

后来细心看了看进程，有一两个不明进程，找到文件结束进程删除文件后，还是不行，文件会再生。不过这个文件再生的一瞬间，它也就注定是病毒了。

因为很多年不捣鼓病毒了嘛，也就不知道拿到的文件名是属于什么病毒了。一开始因为懒嘛，也就直接就那电脑内反复找文件，删文件，找不明进程，不明服务，不明启动项等等，搞了两遍，还是不行，隔一小会就出来，重启电脑就出来。

想了一想，不花那时间去摸索了，也不懒了，直接拿到文件名，找外网电脑百度了一下，才知道是挖矿病毒。

然后知道任务管理器开启后，它就结束这身挖矿进程，保留自身服务进程监测任务管理器关闭再开启挖矿进程，也知道其服务弄的特像Windows自身某些服务，并且文件还弄的特像微软自身的文件，之前我没有去校验签名，也就没注意到那个服务。于是找到其服务，停止服务，结束进程，删除文件。也就清理了。

再接着就内网抓包找445端口的访问地址，找到相关电脑，一台一台清理。

说实在，主要还是佩服永恒之蓝漏洞的攻击手段，确实厉害。存在漏洞的电脑，这边刚清理完电脑里的病毒，只要你没拔网线，重启就又冒出来了。反复被网内其他含毒电脑攻击进来。

好在此毒要想搞事，它必须不停的攻击445端口，也就为网内查找含毒电脑提供了最佳办法了。全内网抓包找出445端口数据包量大的IP地址，也就轻松搞定。

谢谢分享  看着都累，永恒之蓝还是要打补丁