《2019年度挖矿木马报告》：攻击随币值上升，社交网络也可能隐藏日攻

　　随着数字货币价值不断攀升，盗取用户计算机处理器的计算能力进行挖矿成为一门一本万利的暴利营生。自2017年爆发之后，近年来挖矿木马在全球范围持续活跃，每年都有大量主机和服务器被感染，已成为网络世界最主要的威胁之一。近日，腾讯安全发布《2019年度挖矿木马报告》，对挖矿木马种类、感染趋势、技术特点等进行全面分析，并有针对性地提出相关防御和处置建议。

　　日攻击样本最高10万，漏洞、弱口令攻击为主要方式

　　根据腾讯安全威胁情报中心统计数据， 2019年挖矿木马攻击整体呈增长趋势。上半年，伴随着数字货币价格回升，挖矿木马攻击量持续上升， 4月顶峰时日攻击样本曾一度超10万个。 5月之后，攻击趋势有所减缓，下降到6万个/日，并在全年平稳波动。

　　从地区分布来看， 2019年挖矿木马在全国各地均有不同程度的感染，其中以广东、浙江、江苏、北京等东部沿海地区及网络资源较为丰富的城市较为严重，这一分布与互联网使用人口密度分布基本吻合。从行业分布来看，黑产更倾向于攻击互联网、制造业、科研和技术服务以及房地产等行业。

　　从入侵方式来看，利用普遍存在的漏洞、弱口令攻击，或者控制大量机器的僵尸网络进行大规模传播依然是挖矿木马最主要的入侵方式。其中以利用“永恒之蓝”漏洞最为普遍， 2019年最活跃的三个挖矿木马家族WannaMiner、MyKings、DTLMiner均是利用“永恒之蓝”漏洞进行蠕虫式传播，单个家族感染用户均超2万户。

----《2019年度挖矿木马报告》：攻击随币值上升，社交网络也可能隐藏“危机”//----

　　由于部分IT管理人员缺乏安全意识，在使用MsSQL、IPC$、SSH、VNC等服务的过程中使用简单的弱口令，也给黑产带来可乘之机。 SplashData公布的2019排名前五位的最差密码分别是“123456”、“123456789”、“qwerty”、“password”和“1234567” ，这些密码也是黑客在爆破攻击时的首选。挖矿木马通过内置的包含大量简单密码的字典进行自动匹配，很容易破解此类弱口令并入侵系统。

　　“花样”翻新，供应链感染、“无文件”挖矿涌现

　　随着安全对抗持续升级， 2019年黑产“挖矿”技术不断革新，跨平台挖矿、“无文件挖矿等新“花样”不断涌现。

　　供应链感染成为2019年挖矿木马传播的一大特点。由于软件本身拥有巨大用户量，通过软件升级进行木马分发可在短时间内获得大量计算机资源，供应链感染因此深受“挖矿“黑产青睐。如2019年较为活跃的DTLMiner就是通过在后台配置文件中插入木马下载链接，让软件在升级时下载木马文件，进行木马分发。

　　为了进一步提高挖矿效率， 2019年挖矿木马经历了由控制普通电脑到以控制企业主机为主、从只控制Windows挖矿到混合感染多个平台的转变。去年，腾讯安全发现了”Agwl““萝莉帮”、WannaMine、Satan等多个针对linux系统的挖矿木马; 3月， Satan病毒出现最新变种，可针对Windows系统和Linux系统进行无差别攻击，在中招电脑中植入勒索病毒勒索比特币、同时植入挖矿木马挖矿门罗币;同时，黑产还会将挖矿木马与勒索软件、远控后门、剪贴板大盗、DDOS等木马打包进行混合攻击。