不剁手也吃土？可能是挖矿木马掏空你的钱包

“剁手党”们终于度过了“双十一”这个令钱包变瘪的购物节，不过也有许多“佛系买家”并没有参与到这场狂欢中。但是，有几位“佛系”网友反映，自己虽然没有剁手买买买，却因为巨额电费而面临吃土的困境。

原来，这几位网友是由于电脑中不幸被植入了挖矿木马，不仅电费比以前多了不少，连电脑都变的卡慢无比，濒临退休。

“挖矿木马”兴起于2012年，自2017年下半年开始进入普通网民视野，在2018年上半年依旧保持迅勐的发展速度。那么最近挖矿木马又有什么新趋势呢?

2018年上半年每月遭到挖矿木马攻击的计算机数量变化趋势

Windows平台挖矿木马呈缓慢下降趋势

下图展示了2018年下半年以来每日遭到挖矿木马攻击的计算机数量。可以看出，到8月中旬达到最高峰之后，攻击开始呈现缓慢下降趋势，10月后数据基本稳定。

2018年下半年每日遭到挖矿木马攻击的计算机数量

造成挖矿木马攻击数量下降的直接原因是多个大型挖矿僵尸网络在8月至10月之间更新缓慢甚至停止更新。以Mykings挖矿僵尸网络为例，Mykings入侵时所使用的Download URL在8月、9月两个月未进行更新，这也导致在这两个月中Mykings的网络扩建基本停滞。

Mykings僵尸网络2018年下半年所使用的Download URL列表

攻击者也关注安全动态?

而造成挖矿木马攻击数量下降另一个原因可能是2018年下半年公开的影响Web应用的漏洞POC相比较上半年和去年要少得多。

下表展示了2018年以来较常被挖矿木马家族利用的Web应用漏洞，这些漏洞适用性广、漏洞利用代码编写简单，因此倍受挖矿木马家族喜爱。但这些漏洞的POC(漏洞概念验证)几乎都是2018年5月之前公开的，5月之后就极少有类似的POC被公开，也就很难被挖矿木马家族所使用。没有新的漏洞利用加入将导致挖矿木马家族更新速度减缓，而老漏洞被修补也会使得挖矿僵尸网络“入不敷出”。

2018年被挖矿木马所利用的Web应用漏洞

Web应用漏洞POC的公开对挖矿木马的影响如何?下图展示了WannaMine挖矿家族2018年4月到2018年5月每星期攻击的计算机数量变化趋势。

由图中可见WannaMine家族攻击计算机数量在4月中旬后开始飙升，而Weblogic反序列化漏洞CVE-2018-2628的POC也正是在这个时候被公开。果不其然，国外安全厂商Morphus Labs发现了WannaMine家族在CVE-2018-2628的相关POC公开的数小时之后开始利用该漏洞进行攻击(https://morphuslabs.com/weblogic-exploited-in-the-wild-again-8b2047d1a9c4)，这也和图中所示的攻击趋势吻合。可见，每当有新的适用于挖矿木马家族入侵的Web应用漏洞POC被公开，必然会带来一波巨大的挖矿木马攻势。

WannaMine挖矿家族2018年4月-5月攻击趋势

有趣的是，加密货币的价格与挖矿木马的攻击趋势并无明显关联。以绝大多数挖矿木马选择的币种门罗币为例。

如图所示，门罗币兑美元价格在2017年底达到顶峰，从2018年开始快速跌落。但这并没有阻止挖矿木马的爆发，在这段时间挖矿木马反而发展迅勐。而8月之后，门罗币价格有些许回暖，挖矿木马攻击趋势反而缓慢下降。可见，加密货币价格不是决定挖矿木马发展趋势的主要原因。

门罗币价格2017年11月-2018年11月变化趋势

挖矿木马在攻击形式上与其他木马并未有太大区别，，多是通过漏洞利用、弱口令爆破、非法应用传播等其他木马也使用的手段完成攻击。挖矿木马与其他木马的区别在于获利方式，加密货币的出现为木马提供一种简单粗暴的获利方式，即使加密货币价格下跌，其收益依然不低于DDoS服务、加密勒索等其他获利方式。此外，挖矿木马的获利方式相比较其他获利方式在风险成本上也更可控——攻击不会造成太大动静、法律风险也相对较低。因此攻击者更看重的可能是挖矿木马的这些优点，而非加密货币的价格。

针对PC的挖矿木马不容小视

Windows服务器一直是挖矿木马的重灾区，下图展示了针对Windows服务器的挖矿木马与针对PC的挖矿木马在数量上的对比，针对Windows服务器的挖矿木马占比超过了80%。攻击者将目光集中于Windows服务器的主要原因是服务器无论在性能上或者是在用户接触频率上对于攻击者而言都是极度友好的——服务器的性能大部分要远高于个人电脑，并且服务器大多是“疏于看管”的，挖矿木马可以长期潜伏。

针对Windows服务器的挖矿木马与针对PC的挖矿木马数量对比

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!