雷鋒網(wǎng)編者按：隨著虛擬貨幣的興起和增值，越來(lái)越多的人加入“礦工”行列，搞起了挖礦事業(yè)。1月23日，雷鋒網(wǎng)曾就挖礦木馬進(jìn)行盤點(diǎn)，發(fā)文吃雞、蹭網(wǎng)、看片片，揭秘 8 大奇葩挖礦木馬斂財(cái)之道。有利益的地方就有黑產(chǎn)的存在，在代幣這塊大蛋糕上，黑產(chǎn)從業(yè)者是如何操作的，手法有哪些不同？近日，宅客頻道對(duì)某安全公司發(fā)出特別約稿邀請(qǐng)，該公司網(wǎng)絡(luò)安全研究人員就挖礦黑產(chǎn)進(jìn)行了深入分析，為我們展示了黑產(chǎn)挖礦的進(jìn)階之路。

入侵服務(wù)器、網(wǎng)站

首先介紹一下黑客們?nèi)肭址?wù)器、網(wǎng)站進(jìn)行挖礦，方式如：弱口令爆破服務(wù)器、web滲透網(wǎng)站進(jìn)行挖礦。 

現(xiàn)在，黑客們的思路已經(jīng)不執(zhí)著于在服務(wù)端挖礦的方式了，web 也成為了他們的攻擊目標(biāo)，黑客通過(guò)入侵網(wǎng)站在其web頁(yè)面嵌入js代碼，當(dāng)你訪問(wèn)這個(gè)網(wǎng)頁(yè)的時(shí)候，你就為黑客們干活了。

 如果哪一天你的 CPU 突然跑滿了，你的電腦變得卡頓了，指不定就是你成了別人的礦工。

下圖是訪問(wèn)挖門羅幣的網(wǎng)站造成 CPU 急劇上升的情況。 

通過(guò)fofa查詢語(yǔ)法：body="coinhive.com/lib/captcha.min.js"，可以發(fā)現(xiàn)全網(wǎng)有挖礦腳本的網(wǎng)站。 

當(dāng)然，現(xiàn)在的防護(hù)軟件對(duì)挖礦的腳本進(jìn)行了查殺，但是依舊有不少經(jīng)過(guò) js 變形的挖礦腳本未能識(shí)別出來(lái)，進(jìn)一步收集到其特征即可發(fā)現(xiàn)其他受害的網(wǎng)站。

新蛋糕的淪陷-- IOT 設(shè)備挖礦篇

隨著 BTC 的暴漲， 整個(gè)匿名數(shù)字貨幣水漲船高，其匿名，安全，無(wú)法追蹤的特性， 給網(wǎng)絡(luò)黑產(chǎn)滋生帶來(lái)了春天， 從今年5月的 SambaCry 漏洞后，大量野外利用攻擊 IoT 設(shè)備進(jìn)行 CPU 算力貨幣挖掘 (XMR 門羅幣 )，IoT 設(shè)備的數(shù)量?jī)?yōu)勢(shì),以及漏洞修復(fù)推送不及時(shí)等原因，讓其成為挖礦黑產(chǎn)里的新貴。

2017年是中國(guó)物聯(lián)網(wǎng)安全的元年， IoT 的安全問(wèn)題頻繁的被披露。3月份大華攝像頭漏洞，4月份的思科路由器漏洞，6月份?？禂z像頭漏洞，再到TP-Link路由器命令注入漏洞、D-link dir系列路由器漏洞，直至 12 月的華為路由器 0day 漏洞造成的 Satori 僵尸網(wǎng)絡(luò)。

從Mirai到 IoT_reaper 再到 IoT 挖礦，黑客對(duì)于 IoT的利用趨于成熟。而生產(chǎn)廠商對(duì)于安全的概念依舊模糊，拋開 IoT 設(shè)備碎片化、固件升級(jí)麻煩的問(wèn)題，廠商的安全響應(yīng)也是幾近于無(wú)。

黑客只需要很簡(jiǎn)單的幾個(gè)步驟就能控制一臺(tái) IoT 設(shè)備，比如：

1、弱口令、默認(rèn)口令（一些設(shè)備簡(jiǎn)單的密碼，或者使用廠商初始的密碼導(dǎo)致黑客不費(fèi)力的登錄）

2、未驗(yàn)證授權(quán)問(wèn)題（黑客可以未授權(quán)訪問(wèn)到后臺(tái)的配置頁(yè)面、管理頁(yè)面。直接對(duì)路由器的流量進(jìn)行了重定向。）

3、硬編碼問(wèn)題（一些重要的 key 泄露導(dǎo)致了設(shè)備淪陷）

4、一些 0day漏洞

一旦黑客控制了你的路由器就可以控制了你的出口流量，那么只需要重定向或者污染你的流量， 讓你訪問(wèn)包含類似門羅幣挖礦腳本的頁(yè)面，即可讓你成為礦工。

 另一種是直接控制路由器系統(tǒng)，你可以用qemu交叉編譯你的挖礦腳本至于路由器中挖礦。

雖然路由器的算力不如一些服務(wù)器和礦機(jī)，但是基數(shù)較大，一旦控制的數(shù)量一多也是非?？膳碌?。
在fofa中我們可以看到，D-link850系列固件的路由器有102242條匹配結(jié)果。 

進(jìn)階的黑客--docker 挖礦篇

大數(shù)據(jù)、云、人工智能……互聯(lián)網(wǎng)新時(shí)代的產(chǎn)物，讓人們的生活變得不可思議。

然而安全技術(shù)的發(fā)展肯定在其他互聯(lián)網(wǎng)技術(shù)之后，先有了某項(xiàng)產(chǎn)品，再有這款產(chǎn)品的漏洞。

docker 的發(fā)明給讓大數(shù)據(jù)的發(fā)展如虎添翼，于是容器集群管理平臺(tái)也應(yīng)運(yùn)而生。

（docker 是一個(gè)開源的應(yīng)用容器引擎，讓開發(fā)者可以打包他們的應(yīng)用以及依賴包到一個(gè)可移植的容器中，然后發(fā)布到任何流行的 Linux 機(jī)器上，也可以實(shí)現(xiàn)虛擬化。）

 當(dāng)前主流的容器集群管理技術(shù)，包括 Docker 官方的 Docker Swarm、Apache 的 Mesos 和 Google 的 Kubernetes。

但是由于開發(fā)兄弟們的安全意識(shí)不夠，錯(cuò)誤的配置導(dǎo)致了很多未授權(quán)訪問(wèn)漏洞的產(chǎn)生。
利用fofa給出Mesos的查詢規(guī)則，body="ng-app=\"mesos\""||body="/static/css/mesos.css"

可以看到全網(wǎng)有471條記錄，其中存在未授權(quán)訪問(wèn)的約20%。一個(gè)容器集群平臺(tái)控制的容器數(shù)量龐大，用來(lái)挖礦那是再好不過(guò)了~：） 于是對(duì)三種主流的容器進(jìn)行驗(yàn)證并完成poc如下：

 以Mesos為例，根據(jù)官方文檔，Mesos master 默認(rèn)監(jiān)聽 5050 端口。 比較有用的一個(gè) API 是 /flags，可以查看系統(tǒng)的配置情況，包括是否開啟權(quán)限認(rèn)證。

Mesos從1.2 版開始才有了 exec 進(jìn)入容器的功能，我們可以安裝一個(gè)命令工具連接容器從而控制容器。

docker容器是用原生的go語(yǔ)言編寫的，于是我們?cè)趃ithub上可以找到許多成型的挖礦腳本：https://github.com/derekchiang/Mesos-Bitcoin-Miner/ 只需簡(jiǎn)單的配置和編譯就可以進(jìn)行挖礦。

必殺技--礦機(jī)挖礦篇

黑客當(dāng)真就這么厲害么？當(dāng)然不止，隨著代幣價(jià)格的提升，越來(lái)越多的挖礦設(shè)備--礦機(jī)被生產(chǎn)。

黑客可以分析礦機(jī)漏洞、弱口令控制在互聯(lián)網(wǎng)上其他礦民的礦機(jī)進(jìn)行挖礦。

目前在互聯(lián)上未被披露，在fofa上檢索的語(yǔ)法，如螞蟻礦機(jī)：app="antminer"，在fofa有6778個(gè)結(jié)果 。

我們?cè)谶x取一臺(tái)存在漏洞的礦機(jī)查看，可以看到用戶的錢包地址，密碼都可以看到。 

黑客可以將別人的錢包地址改為自己的，然后... 至此，F(xiàn)OFA 對(duì)市面上流行礦機(jī)品牌型號(hào)進(jìn)行整理如下：

烤貓USB礦機(jī) 、Avalon3模組 、比特幣提取卡（0.05btc） 、Avalon2模組 、比特花園刀片礦機(jī) 、Avalon4模組 、比特幣雜志 、烤貓USB礦機(jī)(50個(gè)USB送專用HUB) 、Bitfury單板礦機(jī)36GH/s團(tuán)購(gòu) 、烤貓BOX現(xiàn)貨 、Avalon4模組 、新比特幣提取卡（0.05btc） 、Avalon2代芯片 、比特花園刀片 、Avalon1代芯片 、貝殼250G礦機(jī) 、阿杰200G 、Avalon 3模 、螞蟻礦機(jī) 、Avalon1代USB 、彩貝螞蟻機(jī)箱 、多彩USB礦 、Avalon2 單模組 、iMiner USB 、多彩USB 、龍礦T級(jí) 、阿杰T級(jí) 、多彩USB控制器 、Avalon2-2U整機(jī) 、阿杰2代 、Avalon三代芯片 、彩貝T機(jī) 、Gridseed礦機(jī) 、阿杰avalon3代 、龍礦萊特幣礦機(jī) 、Avalon3 1.2T套裝 、螞蟻S2 、Avalon3 整機(jī) 、井天萊特幣礦機(jī) 、小強(qiáng)USB礦機(jī) 、銀魚萊特幣礦機(jī) 、花園AM1.2T套裝 、小強(qiáng)Rocket Box 、小強(qiáng)礦機(jī)R3 、小強(qiáng)比特幣礦機(jī) 、宙斯萊特幣礦機(jī) 、宙斯芯片 、U盤萊特幣礦機(jī) 、螞蟻電源開關(guān) 、螞蟻S3++ 、銀魚51ASIC版 、龍礦1.5T 、烤貓?jiān)瓘S管子 、Avalon usb 礦機(jī) 、烤貓棱鏡1.4T 、螞蟻S4 、Avalon4.1單模組 、螞蟻C1 、螞蟻S5 、Avalon4 28nm 樣片A3222 、螞蟻礦機(jī)U3 、螞蟻電源APW3 1600W 、AvalonMiner 6.0 、Dr Series Ver2達(dá)世幣礦機(jī) 、蒙自石榴 、Baikal X11 Mini 、Baikal X11 900M 、Dr3 達(dá)世幣礦機(jī) 、顯卡挖礦機(jī) 、翼比特 E9礦機(jī) 、iBeLink 10.8G X11礦機(jī) 、Dr100 達(dá)世幣礦機(jī)。

并提取部分查詢規(guī)則。

縱觀黑客們對(duì)挖礦產(chǎn)業(yè)的技術(shù)迭代如下：

攻防永遠(yuǎn)不對(duì)稱，黑客永遠(yuǎn)在最前沿的戰(zhàn)場(chǎng)牟利，謹(jǐn)以此文讓朋友們了解黑客對(duì)虛擬貨幣的攻擊、牟利手法，并防患于未然。

此文為雷鋒網(wǎng)特別約稿，未經(jīng)同意請(qǐng)勿轉(zhuǎn)載。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。