誰動了我的金礦：深扒黑產挖礦進階之路

雷鋒網編者按：隨著虛擬貨幣的興起和增值，越來越多的人加入「礦工」行列，搞起了挖礦事業。1月23日，雷鋒網曾就挖礦木馬進行盤點，發文吃雞、蹭網、看片片，揭秘 8 大奇葩挖礦木馬斂財之道。有利益的地方就有黑產的存在，在代幣這塊大蛋糕上，黑產從業者是如何操作的，手法有哪些不同？近日，宅客頻道對某安全公司發出特別約稿邀請，該公司網路安全研究人員就挖礦黑產進行了深入分析，為我們展示了黑產挖礦的進階之路。

首先介紹一下黑客們入侵伺服器、網站進行挖礦，方式如：弱口令爆破伺服器、web滲透網站進行挖礦。

現在，黑客們的思路已經不執著於在服務端挖礦的方式了，web 也成為了他們的攻擊目標，黑客通過入侵網站在其web頁面嵌入js代碼，當你訪問這個網頁的時候，你就為黑客們幹活了。

如果哪一天你的 CPU 突然跑滿了，你的電腦變得卡頓了，指不定就是你成了別人的礦工。

下圖是訪問挖門羅幣的網站造成 CPU 急劇上升的情況。

通過fofa查詢語法：body="coinhive.com/lib/captcha.min.js"，可以發現全網有挖礦腳本的網站。

當然，現在的防護軟體對挖礦的腳本進行了查殺，但是依舊有不少經過 js 變形的挖礦腳本未能識別出來，進一步收集到其特徵即可發現其他受害的網站。

隨著 BTC 的暴漲， 整個匿名數字貨幣水漲船高，其匿名，安全，無法追蹤的特性， 給網路黑產滋生帶來了春天， 從今年5月的 SambaCry 漏洞後，大量野外利用攻擊 IoT 設備進行 CPU 算力貨幣挖掘 (XMR 門羅幣 )，IoT 設備的數量優勢,以及漏洞修復推送不及時等原因，讓其成為挖礦黑產里的新貴。

2017年是中國物聯網安全的元年， IoT 的安全問題頻繁的被披露。3月份大華攝像頭漏洞，4月份的思科路由器漏洞，6月份海康攝像頭漏洞，再到TP-Link路由器命令注入漏洞、D-link dir系列路由器漏洞，直至 12 月的華為路由器 0day 漏洞造成的 Satori 殭屍網路。

從Mirai到 IoT_reaper 再到 IoT 挖礦，黑客對於 IoT的利用趨於成熟。而生產廠商對於安全的概念依舊模糊，拋開 IoT 設備碎片化、固件升級麻煩的問題，廠商的安全響應也是幾近於無。

黑客只需要很簡單的幾個步驟就能控制一台 IoT 設備，比如：

1、弱口令、默認口令（一些設備簡單的密碼，或者使用廠商初始的密碼導致黑客不費力的登錄）

2、未驗證授權問題（黑客可以未授權訪問到後台的配置頁面、管理頁面。直接對路由器的流量進行了重定向。）

3、硬編碼問題（一些重要的 key 泄露導致了設備淪陷）

4、一些 0day漏洞

一旦黑客控制了你的路由器就可以控制了你的出口流量，那麼只需要重定向或者污染你的流量， 讓你訪問包含類似門羅幣挖礦腳本的頁面，即可讓你成為礦工。

另一種是直接控制路由器系統，你可以用qemu交叉編譯你的挖礦腳本至於路由器中挖礦。

雖然路由器的算力不如一些伺服器和礦機，但是基數較大，一旦控制的數量一多也是非常可怕的。

在fofa中我們可以看到，D-link850系列固件的路由器有102242條匹配結果。

大數據、雲、人工智慧……互聯網新時代的產物，讓人們的生活變得不可思議。

然而安全技術的發展肯定在其他互聯網技術之後，先有了某項產品，再有這款產品的漏洞。

docker 的發明給讓大數據的發展如虎添翼，於是容器集群管理平台也應運而生。

（docker 是一個開源的應用容器引擎，讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中，然後發布到任何流行的 Linux 機器上，也可以實現虛擬化。）

當前主流的容器集群管理技術，包括 Docker 官方的 Docker Swarm、Apache 的 Mesos 和 Google 的 Kubernetes。

但是由於開發兄弟們的安全意識不夠，錯誤的配置導致了很多未授權訪問漏洞的產生。

利用fofa給出Mesos的查詢規則，body="ng-app="mesos""||body="/static/css/mesos.css"

可以看到全網有471條記錄，其中存在未授權訪問的約20%。一個容器集群平台控制的容器數量龐大，用來挖礦那是再好不過了~：） 於是對三種主流的容器進行驗證並完成poc如下：

以Mesos為例，根據官方文檔，Mesos master 默認監聽 5050 埠。 比較有用的一個 API 是 /flags，可以查看系統的配置情況，包括是否開啟許可權認證。

Mesos從1.2 版開始才有了 exec 進入容器的功能，我們可以安裝一個命令工具連接容器從而控制容器。

docker容器是用原生的go語言編寫的，於是我們在github上可以找到許多成型的挖礦腳本：https://github.com/derekchiang/Mesos-Bitcoin-Miner/ 只需簡單的配置和編譯就可以進行挖礦。

黑客當真就這麼厲害么？當然不止，隨著代幣價格的提升，越來越多的挖礦設備--礦機被生產。

黑客可以分析礦機漏洞、弱口令控制在互聯網上其他礦民的礦機進行挖礦。

目前在互聯上未被披露，在fofa上檢索的語法，如螞蟻礦機：app="antminer"，在fofa有6778個結果 。

我們在選取一台存在漏洞的礦機查看，可以看到用戶的錢包地址，密碼都可以看到。

黑客可以將別人的錢包地址改為自己的，然後... 至此，FOFA 對市面上流行礦機品牌型號進行整理如下：

烤貓USB礦機 、Avalon3模組 、比特幣提取卡（0.05btc） 、Avalon2模組 、比特花園刀片礦機 、Avalon4模組 、比特幣雜誌 、烤貓USB礦機(50個USB送專用HUB) 、Bitfury單板礦機36GH/s團購 、烤貓BOX現貨 、Avalon4模組 、新比特幣提取卡（0.05btc） 、Avalon2代晶元 、比特花園刀片 、Avalon1代晶元 、貝殼250G礦機 、阿傑200G 、Avalon 3模 、螞蟻礦機 、Avalon1代USB 、彩貝螞蟻機箱 、多彩USB礦 、Avalon2 單模組 、iMiner USB 、多彩USB 、龍礦T級 、阿傑T級 、多彩USB控制器 、Avalon2-2U整機 、阿傑2代 、Avalon三代晶元 、彩貝T機 、Gridseed礦機 、阿傑avalon3代 、龍礦萊特幣礦機 、Avalon3 1.2T套裝 、螞蟻S2 、Avalon3 整機 、井天萊特幣礦機 、小強USB礦機 、銀魚萊特幣礦機 、花園AM1.2T套裝 、小強Rocket Box 、小強礦機R3 、小強比特幣礦機 、宙斯萊特幣礦機 、宙斯晶元 、U盤萊特幣礦機 、螞蟻電源開關 、螞蟻S3++ 、銀魚51ASIC版 、龍礦1.5T 、烤貓原廠管子 、Avalon usb 礦機 、烤貓稜鏡1.4T 、螞蟻S4 、Avalon4.1單模組 、螞蟻C1 、螞蟻S5 、Avalon4 28nm 樣片A3222 、螞蟻礦機U3 、螞蟻電源APW3 1600W 、AvalonMiner 6.0 、Dr Series Ver2達世幣礦機 、蒙自石榴 、Baikal X11 Mini 、Baikal X11 900M 、Dr3 達世幣礦機 、顯卡挖礦機 、翼比特 E9礦機 、iBeLink 10.8G X11礦機 、Dr100 達世幣礦機。

並提取部分查詢規則。

縱觀黑客們對挖礦產業的技術迭代如下：

攻防永遠不對稱，黑客永遠在最前沿的戰場牟利，謹以此文讓朋友們了解黑客對虛擬貨幣的攻擊、牟利手法，並防患於未然。

此文為雷鋒網特別約稿，未經同意請勿轉載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！