受比特幣暴漲影響，各類數字虛擬幣市值均有大幅增長。而虛擬貨幣繁榮背后，黑色數字產業鏈卻早已將方向轉向“挖礦”領域，挖礦木馬仍是企業服務器被攻陷后植入的主要木馬類型。

　　近日，騰訊安全威脅情報中心態勢感知系統提供的數據結果顯示，針對云主機的挖礦木馬樣本量明顯上漲，挖礦團伙控制的IP、Domain廣度以及云上挖礦威脅數量也有較大程度上漲，挖礦木馬整體呈現成倍增長趨勢，給企業用戶云主機安全帶來嚴重威脅。

　　虛擬幣暴漲背后 新老挖礦家族合力加大攻擊力度

　　受利益驅使，挖礦木馬視更多企業用戶為攻擊目標。從騰訊安全威脅情報中心態勢感知系統提供的數據可以看出，老牌挖礦家族目前十分活躍，并且會針對云主機的系統和應用部署特性開發新的攻擊代碼。較為典型的就是SystemdMiner、H2Miner兩個挖礦團伙組合利用PostgreSQL的未授權訪問漏洞以及PostgreSQL提權代碼執行漏洞攻擊云服務器。這意味著，存在漏洞的服務器可能同時被多個挖礦木馬團伙掃描入侵，如果不同挖礦木馬火力全開同時挖礦，服務器就有徹底癱瘓的風險。

　　與此同時，新的挖礦團伙同樣層出不窮。其中，挖礦家族z0Miner在2020年11月2日被發現利用Weblogic未授權命令執行漏洞進行攻擊，當次攻擊是在Weblogic官方發布安全公告(2020.10.21)之后的15天之內發起，這也從側面反映出挖礦木馬團伙對于新漏洞武器的快速響應。

　　以上挖礦行為歸根結底是由于部分主機未對系統進行合理的訪問策略控制，導致其存在較多的安全缺陷，不法黑客團伙趁機大規模入侵服務器并植入挖礦木馬，再利用被控主機系統的計算資源挖礦數字加密貨幣獲利。

　　攻擊手段再升級 僵尸網絡助長挖礦木馬蔓延之勢

　　在以往的認知當中，清除惡意軟件就意味著主機安全威脅的消失。但今天的僵尸網絡不同于此，它由主機之外的組件組成，對它來說，消除惡意軟件和修復被感染的機器并不會令其被完全清除。一個僵尸網絡可以有多個惡意軟件家族，且多個惡意軟件家族可以是不同僵尸網絡的成員。因此，當僵尸網絡也加入挖礦陣營，企業用戶面臨的安全風險也隨之加大。

　　同時，經過長期演變，挖礦木馬團伙的“挖礦”手段也越發成熟。騰訊主機安全系統就曾經檢測到Prometei僵尸網絡和TeamTNT挖礦木馬針對云服務器的攻擊，其中TeamTNT挖礦木馬已經完成了變種更新，而Prometei僵尸網絡變種則是針對Linux系統進行攻擊，通過SSH弱口令爆破登陸服務器，之后安裝僵尸木馬uplugplay控制云主機并根據C2指令啟動挖礦程序。新變種對數據回傳和橫向移動的模塊代碼進行升級優化，表明黑產團伙正在繼續改進木馬功能模塊，有危害擴大跡象。

　　挖礦木馬作為目前主機面臨的最普遍威脅之一，是檢驗企業安全防御機制、環境和技術能力水平的關鍵。如何有效應對此類安全威脅，并在此過程中促進企業網絡安全能力提升，應成為企業安全管理人員與網絡安全廠商的共同目標。

　　安全對抗加劇 阻斷源頭是根本

　　挖礦木馬成倍增長，高危漏洞頻繁爆出，當前安全形勢不容輕視。隨著安全對抗不斷升級，網絡攻擊將進一步加劇，特別是企業的業務上云會導致攻擊面增加，使得安全環境更加復雜。為此，騰訊安全專家提醒企業提高對網絡攻擊的重視程度，加大對挖礦木馬的防護力度，構建更為牢固的信息安全防線。

　　騰訊安全專家建議，對于Linux服務器SSH、Windows SQL Server等主機訪問入口設置高強度的登錄密碼;對于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應用增加授權驗證，對訪問對象進行控制;如果服務器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經常曝出安全漏洞的服務器組件，應密切關注相應組件官方網站和各大安全廠商發布的安全公告，根據提示及時修復相關漏洞，將相關組件升級到最新版本。

　　同時，騰訊安全還針對當前安全形勢打造了一系列解決方案。騰訊主機安全系統和云防火墻(CFW)都支持查殺相關流行挖礦木馬程序及其利用的RCE漏洞、未授權訪問漏洞、弱口令爆破攻擊檢測，能夠提供云上終端的防毒殺毒、防入侵、漏洞管理、基線管理等;騰訊云安全運營中心能夠為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及泄漏監測、風險可視等能力。企業可以通過部署相應安全產品阻斷挖礦木馬攻擊，提升安全防御能力。