（研究报告来源：Cyber Threat Alliance 翻译：CoinWhiteBook）

非法加密货币挖掘的威胁代表了企业和个人日益普遍的网络安全风险，2017年至2018年期间，采矿检测率增加了459%。随着各种加密货币的价值增加而且使用频率越来越高，恶意网络行为者正在通过计算机、网络浏览器、互联网（IoT）设备、移动设备和网络基础设施，以窃取他们的处理挖掘加密货币能力。来自CTA成员的综合威胁情报显示，即使近期加密货币价值下降，这种快速增长也没有显示出放缓的迹象。

因为这种威胁相对较新，许多人不了解它，它的潜在意义，或者该怎么办。因此，CTA决定使用其成员的综合资源来进行联合分析。 本报告将描述非法加密货币采矿的现状，其影响，降低风险的建议，以及对非法采矿威胁未来的讨论。

本文是网络维护者的行动呼吁。通过实施本报告中的建议和最佳实践，他们将能够对非法加密货币挖矿的威胁产生巨大影响，并为节省他们的组织时间和资源，同时提高其抵御其他网络威胁的安全态势。CTA和网络维护者有能力通过提高成本并迫使他们改变行为来破坏非法采矿者的活动。 我们可以共同阻止他们实现目标。

 非法加密货币联合分析的主要发现包括：

→EternalBlue仍在影响企业：EternalBlue的补丁已经存在18个月，甚至在两个重要的全球网络攻击中被利用 - WannaCry和NotPetya--仍有无数组织受到此漏洞的攻击，因为它正在被采矿恶意软件，如Adylkuzz和Smominru，使用。这是一个可以升级成组织内部横向移动的漏洞。

→一个更大的修补问题：EternalBlue仍然被利用的事实指出了组织更大的修补问题。 CTA已经发现许多旧的未修补设备成功使用公开披露的漏洞。 事实上，这些旧的漏洞正在帮助推动非法采矿的盈利能力。 EternalBlue只是更广泛问题的一个例子。

→矿井中的金丝雀（美国俚语：预示某人/某物危险将至）：企业内部存在的非法加密货币挖矿，这表明必须解决网络安全状况的其他缺陷。大多数非法挖矿利用网络卫生中的失误或缓慢的补丁管理周期来获得立足点并在网络中传播。如果矿工可以获得使用网络处理能力的权限，那么您可以放心，更复杂的角色可能已经拥有访问权限。挖矿是矿井中的金丝雀，警告你未来会遇到更大的问题。CTA成员在被调查进行矿业感染的事件响应并在网络中发现多个威胁行为者的迹象之后重新计算案例。

→脚本kiddie的兴起：新手攻击者能够访问易于使用的恶意软件和基于浏览器的漏洞来挖掘加密货币，只需要很少的前期工作或知识。而且他们经常在没有任何限制或检查的情况下执行他们的挖掘软件，从而导致受害者机器的CPU或GPU超负荷并损坏IT设备。 通常这会相对快速地警告用户出现问题 - 但是在实际的损坏结束之后。

→复杂性增长：此外，CTA发现攻击者开始变得更加复杂，以隐藏他们的活动，并尽可能长时间不被发现。例如，分析人员观察到成功和广泛的攻击者“远离尘嚣地生活着”，或者使用合法的功能来下载和执行矿工，这对于观察者或反病毒检测来说将更加困难，例如有利可图且广泛使用的Monero采矿活动Smominru。  更高级的攻击者已经证明能够设置用于生成加密货币的计算资源的级别以避免检测。根据Palo Alto Networks的说法，更复杂的攻击者将他们的挖掘软件配置为仅占用机器CPU的20％。 其他的例子还包括在发现鼠标移动时停止挖矿。

Fortinet对PowerGhost恶意软件的分析包括几种有趣的方法，用于在挖掘加密货币时规避检测和最大化资源。 PowerGhost使用网络钓鱼获取对网络的初始访问权限，然后利用Windows Management Instrumentation（WMI），盗窃Window凭证，通过EternalBlue漏洞进行传播。 然后，它尝试禁用Windows Defender等防病毒程序，禁用其他竞争非法加密货币矿工最大化CPU使用率，并禁用计算机的睡眠和休眠模式以最大化挖矿时间。

此外，尽管处理能力较低，但攻击者越来越多地瞄准物联网（IoT）设备。 路由器和媒体设备（如智能电视，有线电视盒和DVR）等也在上升。

→对受感染设备的物理损坏和压力：非法加密货币挖掘还可能导致计算机性能降低，并且热敏部件或冷却系统元件机械故障的可能性增加。运行加密货币挖掘软件的特定位置或设施中的机器越多，功耗和发热量就越明显，这反过来又有增加机械故障的倾向。由于可以访问大量机器，高性能服务器和公共云系统，企业环境是非法采矿业务的特别有利可图的目标。

方法论

对于此联合分析，CTA成员共同努力突出非法加密货币开采带来的新威胁和不断增长的威胁。 该报告是使用相关的共享威胁情报创建的，这使得CTA能够对非法加密货币采矿对手构成的威胁进行多方面的分析。 联合分析的目标是实现：使数字生态系统中的每个人都能够采取行动，从长远来看会增加这些对手的成本并破坏他们的整个基础业务模式。

贡献作者

Cisco Talos: David Liebenberg 

McAfee:  Charles McFarland

Rapid7: Michelle Martinez

Fortinet: Jerome Cruz, Fred Gutierrez, and Anthony Giandomenico 

NTT Security:  Terrance DeJesus 

 Sophos: Andrew Brandt

Palo Alto Networks: Josh Grunzweig 

Cyber Threat Alliance:  Neil Jenkins, Scott Scher

图表和数据附录  

图1.来自的加密货币挖掘恶意软件检测2014 - 2018年，由几位CTA成员提供

图7.2017年基于二进制的大规模受害者遥测使用XMRig的加密货币挖掘活动，经由Palo Alto Networks提供

CTA 加密挖矿研究报告：主要发现

图11.用于执行XMRig可执行文件的VBS脚本，CPU利用率最高为20％

图12. Minergate构建器配置选项

图13. Fortinet数据显示基于二进制的加密货币挖掘恶意软件的百分比之间的正相关性比较自20155年1月以来比特币的价格。将采矿恶意软件与Monero价格进行比较的类似分析显示了类似的正相关（此处未显示）。