深度解密！挖矿木马为何能在黑产圈扮演“中坚”角色？( 二 ) 尽管以比特币

----深度解密！挖矿木马为何能在黑产圈扮演“中坚”角色？//----江苏龙网 http://www.jiangsulong.com //

（图：xiaoba锁定某游戏辅助外挂）

医院也没能逃脱挖矿木马的魔爪。 2018年7月，多家三甲医院服务器被不法黑客入侵，攻击者暴力破解医院服务器的远程登录服务，之后利用某品牌云笔记的分享文件功能下载多种挖矿木马，最终获利超40万人民币。

针对企业的攻击趋势在老牌挖矿木马——PhotoMiner上体现得更为明显。这个被首次发现于16年的病毒在去年4月重新活跃，通过入侵控制企业服务器，组建僵尸网络云上挖矿，累计挖到8万枚门罗币，收益达到惊人的8900万人民币，成为名副其实的“黄金矿工” 。

挖矿木马的“求生欲”

为了减少被用户发现的几率，挖矿木马常用套路是故意把挖矿时占用的CPU资源控制在一定范围内，并且设置为检测到任务管理器时将自身退出的特性。

除此之外，挖矿木马还会应用独特技术来逃避杀毒软件的拦截。 2018年5月出现的“美人蝎”挖矿木马，会隐藏在美女图片当中，利用图片加密传递矿池相关信息，通过DNS隧道返回的信息来获取隐蔽的C2信息，逃避杀软侦测。该木马控制超过2万台肉鸡电脑，分配不同的肉鸡集群挖不少于4种数字加密币。

为了进一步升级技术手段，挖矿木马也瞄上了NSA武器库。自从NSA武器库工具泄露以来，就一直备受不法黑客垂青，该工具包经过简单的修改利用便可达到蠕虫式传播病毒的目的。 2018年腾讯安全御见威胁情报中心发现大量的挖矿木马团伙应用NSA武器库工具传播挖矿木马，这使挖矿木马拥有蠕虫病毒的传播能力。在腾讯安全监测到NSAFtpMiner等应用了NSA武器库的挖矿木马攻击事件中，影响范围均数以万计。