，單日影響機(jī)器量最高可達(dá)20萬臺。隨即在3月份配合騰訊守護(hù)者計劃安全團(tuán)隊，協(xié)助山東警方快速打擊木馬作者，并在4月初打掉這個鏈條頂端的黑產(chǎn)公司。據(jù)統(tǒng)計，該團(tuán)伙合計挖掘DGB（極特幣）、HSR（紅燒肉幣）、XMR（門羅幣）、SHR（超級現(xiàn)金）、BCD（比特幣鉆石）等各種數(shù)字加密貨幣超過2000萬枚，非法獲利逾千萬。

2018年2月，騰訊電腦管家發(fā)現(xiàn)一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程序中傳播，并在2月中下旬通過社交群、網(wǎng)盤等渠道傳播，出現(xiàn)明顯上漲趨勢。

2018年5月，騰訊御見威脅情報中心感知到一款名為“520Miner”的挖礦木馬通過游戲外掛傳播，控制數(shù)千臺機(jī)器挖了好幾天的礦，最終收獲67枚VIT幣，總價值不到一毛錢人民幣，可以說是史上最能窮折騰的挖礦木馬。

（2）利用網(wǎng)頁掛馬，大范圍傳播

挖礦木馬的傳播渠道不限于通過偽裝成電腦軟件下載，還普遍采用了網(wǎng)頁掛馬這種最高效率的傳播方式。

2018年4月12日，騰訊御見威脅情報中心監(jiān)測到國內(nèi)一起大規(guī)模的網(wǎng)頁掛馬事件。當(dāng)天包括多款知名播放器軟件、視頻網(wǎng)站客戶端、常見的工具軟件在內(nèi)的50余款用戶量千萬級別的電腦軟件遭遇大規(guī)模網(wǎng)頁掛馬攻擊。

攻擊者將攻擊代碼通過某廣告聯(lián)盟的系統(tǒng)主動分發(fā)帶毒頁面，而這個帶毒頁面被內(nèi)嵌在50余款千萬級別用戶群的常用軟件中，這些用戶的電腦一開機(jī)會主動連網(wǎng)下載廣告資源，電腦會因此下載若干個病毒，其中就包括挖礦病毒。騰訊電腦管家當(dāng)天攔截超過20萬次病毒下載。

此外，騰訊御見威脅情報中心還監(jiān)測到一款挖礦病毒感染量異常增高，經(jīng)病毒溯源分析發(fā)現(xiàn)，受害者電腦上的挖礦木馬均來自某些打著“人體藝術(shù)”旗號的色情網(wǎng)站。

當(dāng)網(wǎng)民瀏覽這些網(wǎng)站時，由于部分系統(tǒng)存在Flash高危安全漏洞，打開網(wǎng)頁會立刻中毒。之后，受害者電腦便會運(yùn)行挖礦代碼，電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦，并以此牟利。

（3）入侵控制企業(yè)服務(wù)器，組建僵尸網(wǎng)絡(luò)云上挖礦

隨著各種數(shù)字加密貨幣的挖礦難度越來越大，通過普通用戶的個人電腦難以實現(xiàn)利益最大化。而實施短時間內(nèi)的大范圍挖礦，除了網(wǎng)頁掛馬，最普遍的作法就是控制肉雞電腦組建僵尸網(wǎng)絡(luò)挖礦。服務(wù)器性能強(qiáng)、24小時在線的特征，吸引更多不法礦工將攻擊目標(biāo)轉(zhuǎn)向企業(yè)、政府機(jī)構(gòu)、事業(yè)單位的服務(wù)器實現(xiàn)云上挖礦。

騰訊御見威脅情報中心曾發(fā)現(xiàn)一個感染量驚人的“PhotoMiner木馬”，通過入侵感染FTP服務(wù)器和SMB服務(wù)器暴力破解來擴(kuò)大傳播范圍。查詢木馬控制的門羅幣錢包地址，發(fā)現(xiàn)該木馬控制肉雞電腦挖到8萬枚門羅幣，挖礦累計收益達(dá)到驚人的8900萬人民幣，是名副其實的“黃金礦工”。

騰訊安全云鼎實驗室通過對DNS請求的礦池地址進(jìn)行統(tǒng)計和歸類，發(fā)現(xiàn)云上挖礦幣種主要是XMR（門羅幣）、以太幣（ETH）和ETN（以利幣）。對云主機(jī)服務(wù)器上挖礦木馬最常連接的礦池地址進(jìn)行了統(tǒng)計，發(fā)現(xiàn)xmr.pool.minergate.com使用頻率最高。

其中部分在國內(nèi)流行的挖礦木馬使用了自建礦池的方式進(jìn)行挖礦，這主要是出于使用第三方礦池，第三方礦池會收取一定的手續(xù)費(fèi)，而使用自建礦池的方式可以減少這些不必要的費(fèi)用支出。

通過對數(shù)字貨幣的價格走勢和挖礦熱度進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)挖礦的熱度與幣種價格成正比關(guān)系。這也再次驗證，網(wǎng)絡(luò)黑產(chǎn)的目標(biāo)就是追求利益的最大化。觀察ETN（以利幣）的價格走勢，我們可以發(fā)現(xiàn)從其從1月中旬開始呈下降趨勢：

而觀察其對應(yīng)礦池的訪問，發(fā)現(xiàn)也是下降趨勢：

通過對歷史捕獲挖礦案例的分析，云上挖礦通常是一種批量入侵方式，而由于其批量入侵的特性，所以利用的也只能是通用安全問題，比如系統(tǒng)漏洞、服務(wù)漏洞，而最常見的是永恒之藍(lán)、Redis未授權(quán)訪問問題、Apache Struts 2漏洞導(dǎo)致企業(yè)Web服務(wù)器被批量入侵。

攻擊者還擅長使用挖礦木馬生成器、弱口令攻擊字典等攻擊工具入侵服務(wù)器，再大量擴(kuò)散挖礦木馬。

（4）網(wǎng)頁挖礦：在正常網(wǎng)址插入挖礦代碼

由于殺毒軟件的存在，許多挖礦木馬文件一落地到用戶電腦就可能被攔截，不利于擴(kuò)大挖礦規(guī)模，更多攻擊者傾向?qū)嵤┚W(wǎng)頁挖礦：通過入侵存在安全漏洞的網(wǎng)站，在網(wǎng)頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網(wǎng)頁，就會淪為礦工。

在挖礦的網(wǎng)站類型中，色情網(wǎng)站占比最高，其次是視頻網(wǎng)站和博客、論壇。用戶在此類網(wǎng)站觀看視頻、閱讀文章，停留時間較長，黑客利用這些網(wǎng)站進(jìn)行挖礦，可以獲取較高的收益。

在礦池方面最早出現(xiàn)的coinhive礦池占據(jù)網(wǎng)頁挖礦中的最大比例，與coinhive同一平臺的authemine礦池占11%；基于coinhive建立的ppoi礦池和cryptoloot礦池分別占比21%、4%。

2.2下半年挖礦木馬的傳播趨勢

數(shù)字加密貨幣在2018年上半年持續(xù)暴跌，比特幣已從去年年底的2萬美元，跌至現(xiàn)在不足7000美元，“炒幣”熱似在降溫，但這并沒有影響挖礦木馬前進(jìn)的腳步，畢竟挖礦木馬是靠肉雞挖礦賺錢，勿需投入物理設(shè)備，而從最近爆出的挖礦木馬事件中發(fā)現(xiàn)，挖礦木馬可選擇的幣種越來越多，設(shè)計越來越復(fù)雜，隱藏也越來越深，下半年的挖礦將會持續(xù)活躍，與殺毒軟件的對抗會愈演愈烈。

（1）全能型挖礦木馬產(chǎn)生，同時帶來多種危害

PC病毒的名字通常包含了病毒的來源、傳播路徑、目的等信息，如“Trojan.StartPage”代表這是一類鎖主頁木馬，“Backdoor.GrayBird”屬于灰鴿子后門病毒，如今在殺軟的強(qiáng)力打擊之下，病毒木馬“棲息地”越來越少，拓展“業(yè)務(wù)”已成為眾多病毒木馬的首要任務(wù)，挖礦木馬也不例外。

上半年出現(xiàn)的“Arkei Stealer”木馬，集竊密、遠(yuǎn)控、DDoS、挖礦、盜幣于一體，可謂木馬界“全能”。下半年的挖礦木馬或?qū)⒓筛嗟?ldquo;業(yè)務(wù)”，通過各種渠道入侵至用戶機(jī)器。

（2）隱藏技術(shù)更強(qiáng)，與安全軟件對抗愈加激烈

病毒發(fā)展至今，PC機(jī)上隱藏技術(shù)最強(qiáng)的無疑是B/Rootkit類病毒，這類木馬編寫復(fù)雜，各模塊設(shè)計精密，可直接感染磁盤引導(dǎo)區(qū)或系統(tǒng)內(nèi)核，其權(quán)限視角與殺軟平行，屬于比較難清除的一類病毒。

此類病毒常用于鎖主頁及勒索，而近期發(fā)現(xiàn)R/Bookit技術(shù)也被應(yīng)用于挖礦木馬中，使挖礦木馬的隱藏技能提升幾個檔次。下半年數(shù)字加密貨幣安全形勢依然嚴(yán)峻，挖礦木馬的隱藏對抗或?qū)⒏蛹ち摇?/span>

3.數(shù)字劫匪“鋌而走險”攻擊交易所，半年獲利約7億美元

除了勒索病毒造成的損失，盜竊行為也同樣可對數(shù)字加密貨幣持有者造成大量損失，從數(shù)字加密貨幣誕生初期，數(shù)字加密貨幣被盜的新聞就層出不窮。目前盜取數(shù)字加密貨幣的方式大致4種：入侵交易所，入侵個人用戶，“雙花攻擊”，漏洞攻擊。

3.1數(shù)字加密貨幣交易平臺被攻擊

數(shù)字加密貨幣交易所被攻擊，僅2018年上半年就損失了約7億美元。

（1）2018年1月日本最大的數(shù)字加密貨幣交易所Coincheck被盜走價值5.34億美元的NEM（新經(jīng)幣）；

（2）2018年3月7日，Binance交易鎖被入侵，此次為大規(guī)則通過釣魚獲取用戶賬號并試圖盜幣事件；

（3）2018年4月13日，印度數(shù)字加密貨幣交易所CoinSecure被438枚比特幣，疑為內(nèi)部人員監(jiān)守自盜；

（4）2018年6月10日，韓國數(shù)字加密貨幣交易所Coinrail被攻擊，損失超過5000萬美元；

（5）2018年6月20，韓國數(shù)字加密貨幣交易所Bithumb被黑客攻擊，價值3000萬美元的數(shù)字加密貨幣被盜，這是Bithumb第三次被黑客攻擊了。

3.2個人賬號遭入侵

（1）通過植入病毒木馬竊取錢包文件

2018年2月騰訊電腦管家發(fā)現(xiàn)大量利用Office公式編輯器組件漏洞（CVE-2017-11882）的攻擊樣本，通過下載并運(yùn)行已被公開源碼的Pony木馬，竊取用戶比特幣錢包文件等敏感信息。

2018年3月，一款基于剪切板劫持的盜幣木馬在國內(nèi)出現(xiàn)，該木馬使用易語言編寫，通過激活工具、下載站到達(dá)用戶機(jī)器，木馬會監(jiān)視用戶剪切板，一旦發(fā)現(xiàn)有錢包地址，則替換為木馬的錢包地址，木馬內(nèi)置30多個錢包地址，且部分錢包已經(jīng)有盜取記錄。

此外，騰訊御見威脅情報中心分析發(fā)現(xiàn)，越來越多的病毒會嘗試劫持?jǐn)?shù)字加密幣交易錢包地址，當(dāng)受害者在中毒電腦上操作數(shù)字加密貨幣轉(zhuǎn)帳交易時，病毒會迅速將收款錢包地址替換為病毒指定的地址，病毒行為就如同現(xiàn)實中的劫匪。類似病毒在電腦網(wǎng)購普及時也曾經(jīng)出現(xiàn)，病毒在交易完成的一瞬間，將受害者資金轉(zhuǎn)入自己指定的交易賬戶。

（2）內(nèi)部盜取加密貨幣

2018年3月份，北京某互聯(lián)網(wǎng)攻擊員工利用職務(wù)便利，在公司服務(wù)器部署惡意代碼，盜取該公司100個比特幣，目前已經(jīng)被依法逮捕，這是北京首例比特幣盜竊案。

3.3“雙花攻擊”

“雙花攻擊”是控制某數(shù)字加密貨幣網(wǎng)絡(luò)51%算力之后，對數(shù)字加密貨幣區(qū)塊鏈進(jìn)行攻擊，可實現(xiàn)對已經(jīng)交易完成的數(shù)據(jù)進(jìn)行銷毀，并重新支