2022年3月22日，亚信安全正式发布《2021年挖矿病毒专题报告》（以下简称《报告》），以2021年亚信安全威胁情报与服务运营部门所监测、分析和处置的挖矿病毒事件为基础，对各类挖矿病毒和攻击进行分析梳理与情况总结，并且深度探究未来可能会演化的方向，为更好开展挖矿病毒治理提供参考。

由于虚拟货币的暴涨，受利益驱使，黑客也瞄准了虚拟货币市场，其利用挖矿脚本来实现流量变现，使得挖矿病毒成为不法分子利用最为频繁的攻击方式之一。《报告》数据显示，随着我国持续加大全面整治虚拟货币”挖矿”活动的力度，在2021年国内挖矿病毒数量和相关事件已呈现下降的趋势。我国在全面整治虚拟货币”挖矿”行动方面已经取得初步成效。

2021 年挖矿病毒大事件全面回顾

《报告》梳理了2021年度典型挖矿病毒及事件，总结其攻击特点及目的发现，有些挖矿病毒为获得利益最大化，攻击企业云服务器；有些挖矿病毒则与僵尸网络合作，快速抢占市场；另外还有些挖矿病毒则在自身技术上有所突破，利用多种漏洞攻击方法，不仅如此，挖矿病毒也在走创新路线，伪造CPU使用率，利用Linux内核Rootkit进行隐秘挖矿等。

图1 2021年挖矿病毒攻击事件回顾

挖矿病毒全面整治初见成效

挖矿病毒不仅给用户带来经济损失，还会带来巨大能源消耗，根据行业研究发现，2021年，我国比特币挖矿年耗电量大约是79.1太瓦时，占全国总耗电量0.95%，其产生的碳排放约0.348亿公吨。若没有政策干预，预计在2024年，我国比特币挖矿年能耗预计将达到峰值296.59太瓦时，产生1.305亿公吨碳排放，约占我国发电的碳排放量的5.41%。

为推动节能减排，在2060年实现碳达峰、碳中和目标，2021年9月，国家发展改革委等10部门联合发布通知，要求全面整治虚拟货币”挖矿”活动。而通过2016年到2021年的数据追踪发现，在2021年国内挖矿病毒数量已呈现下降的趋势，证实我国在2021年全面整治虚拟货币”挖矿”行动有了初步成效。

图2 挖矿病毒杀伤链

通过分析大量的挖矿病毒样本，研究人员发现挖矿病毒攻击杀伤链包括侦察跟踪、武器构建、横向渗透、荷载投递、安装植入、远程控制和执行挖矿七个步骤。攻击者首先搜寻目标的弱点，然后使用漏洞和后门制作可以发送的武器载体，将武器包投递到目标机器，然后在受害者的系统上运行利用代码，并在目标位置安装恶意软件，为攻击者建立可远程控制目标系统的路径，最后释放挖矿程序，执行挖矿，攻击者远程完成其预期目标。

针对上述攻击杀伤链，亚信安全设立了14个关键监测点，通过信桅深度威胁发现设备（TDA）、信舱云主机安全（DeepSecurity）、信端病毒防护（OfficeScan）、信端终端检测与响应系统（EDR）、 网络检测与响应（TDA+Spiderflow）、信舷防毒墙（AISEdge）、调查分析威胁狩猎服务等，多维度发现、检测、响应、查杀、恢复和预防挖矿病毒。

报告关键发现和建议

•  漏洞武器和爆破工具是挖矿团伙最擅长使用的入侵武器，而且他们使用新漏洞武器的速度越来越快，这就对防御和安全响应能力提出了更高的要求。

•  因门罗币的匿名性极好，因此受到挖矿团伙青睐，门罗币已经成为挖矿病毒首选货币，“无文件”、“隐写术 ” 等高级逃逸技术盛行，安全对抗持续升级。

•  近年来国内云产业基础设施建设快速发展，政府和企业积极上云，拥有庞大数量工业级硬件的企业云和数据中心将成为挖矿病毒重点攻击目标。

•  挖矿病毒持续挖掘利益最大化”矿机”，通过引入僵尸网络模块并与僵尸网络合作，依靠僵尸网络庞大的感染基数迅速扩张，占领市场，同时提高知名度。

•  挖矿病毒已经获得全面进化，很难通过单一安全产品实现有效的防护，需要结合病毒特性，进行有针对性的多重检测防护。

报告下载链接：

https://h2.veqxiu.net/q/99036520_Rqcbx6Vo?share_level=1&from_user=202203220f23ec68&from_id=bcbcc7f5-f&share_time=1647948700001