雷鋒網(wǎng)編者按：隨著虛擬貨幣的興起和增值，越來越多的人加入“礦工”行列，搞起了挖礦事業(yè)。1月23日，雷鋒網(wǎng)曾就挖礦木馬進行盤點，發(fā)文吃雞、蹭網(wǎng)、看片片，揭秘 8 大奇葩挖礦木馬斂財之道。有利益的地方就有黑產(chǎn)的存在，在代幣這塊大蛋糕上，黑產(chǎn)從業(yè)者是如何操作的，手法有哪些不同？近日，宅客頻道對某安全公司發(fā)出特別約稿邀請，該公司網(wǎng)絡(luò)安全研究人員就挖礦黑產(chǎn)進行了深入分析，為我們展示了黑產(chǎn)挖礦的進階之路。

入侵服務(wù)器、網(wǎng)站

首先介紹一下黑客們?nèi)肭址?wù)器、網(wǎng)站進行挖礦，方式如：弱口令爆破服務(wù)器、web滲透網(wǎng)站進行挖礦。 

現(xiàn)在，黑客們的思路已經(jīng)不執(zhí)著于在服務(wù)端挖礦的方式了，web 也成為了他們的攻擊目標，黑客通過入侵網(wǎng)站在其web頁面嵌入js代碼，當你訪問這個網(wǎng)頁的時候，你就為黑客們干活了。

 如果哪一天你的 CPU 突然跑滿了，你的電腦變得卡頓了，指不定就是你成了別人的礦工。

下圖是訪問挖門羅幣的網(wǎng)站造成 CPU 急劇上升的情況。 

通過fofa查詢語法：body="coinhive.com/lib/captcha.min.js"，可以發(fā)現(xiàn)全網(wǎng)有挖礦腳本的網(wǎng)站。 

當然，現(xiàn)在的防護軟件對挖礦的腳本進行了查殺，但是依舊有不少經(jīng)過 js 變形的挖礦腳本未能識別出來，進一步收集到其特征即可發(fā)現(xiàn)其他受害的網(wǎng)站。

新蛋糕的淪陷-- IOT 設(shè)備挖礦篇

隨著 BTC 的暴漲， 整個匿名數(shù)字貨幣水漲船高，其匿名，安全，無法追蹤的特性， 給網(wǎng)絡(luò)黑產(chǎn)滋生帶來了春天， 從今年5月的 SambaCry 漏洞后，大量野外利用攻擊 IoT 設(shè)備進行 CPU 算力貨幣挖掘 (XMR 門羅幣 )，IoT 設(shè)備的數(shù)量優(yōu)勢,以及漏洞修復推送不及時等原因，讓其成為挖礦黑產(chǎn)里的新貴。

2017年是中國物聯(lián)網(wǎng)安全的元年， IoT 的安全問題頻繁的被披露。3月份大華攝像頭漏洞，4月份的思科路由器漏洞，6月份海康攝像頭漏洞，再到TP-Link路由器命令注入漏洞、D-link dir系列路由器漏洞，直至 12 月的華為路由器 0day 漏洞造成的 Satori 僵尸網(wǎng)絡(luò)。

從Mirai到 IoT_reaper 再到 IoT 挖礦，黑客對于 IoT的利用趨于成熟。而生產(chǎn)廠商對于安全的概念依舊模糊，拋開 IoT 設(shè)備碎片化、固件升級麻煩的問題，廠商的安全響應也是幾近于無。

黑客只需要很簡單的幾個步驟就能控制一臺 IoT 設(shè)備，比如：

1、弱口令、默認口令（一些設(shè)備簡單的密碼，或者使用廠商初始的密碼導致黑客不費力的登錄）

2、未驗證授權(quán)問題（黑客可以未授權(quán)訪問到后臺的配置頁面、管理頁面。直接對路由器的流量進行了重定向。）

3、硬編碼問題（一些重要的 key 泄露導致了設(shè)備淪陷）

4、一些 0day漏洞

一旦黑客控制了你的路由器就可以控制了你的出口流量，那么只需要重定向或者污染你的流量， 讓你訪問包含類似門羅幣挖礦腳本的頁面，即可讓你成為礦工。

 另一種是直接控制路由器系統(tǒng)，你可以用qemu交叉編譯你的挖礦腳本至于路由器中挖礦。

雖然路由器的算力不如一些服務(wù)器和礦機，但是基數(shù)較大，一旦控制的數(shù)量一多也是非常可怕的。
在fofa中我們可以看到，D-link850系列固件的路由器有102242條匹配結(jié)果。 

進階的黑客--docker 挖礦篇

大數(shù)據(jù)、云、人工智能……互聯(lián)網(wǎng)新時代的產(chǎn)物，讓人們的生活變得不可思議。

然而安全技術(shù)的發(fā)展肯定在其他互聯(lián)網(wǎng)技術(shù)之后，先有了某項產(chǎn)品，再有這款產(chǎn)品的漏洞。

docker 的發(fā)明給讓大數(shù)據(jù)的發(fā)展如虎添翼，于是容器集群管理平臺也應運而生。

（docker 是一個開源的應用容器引擎，讓開發(fā)者可以打包他們的應用以及依賴包到一個可移植的容器中，然后發(fā)布到任何流行的 Linux 機器上，也可以實現(xiàn)虛擬化。）

 當前主流的容器集群管理技術(shù)，包括 Docker 官方的 Docker Swarm、Apache 的 Mesos 和 Google 的 Kubernetes。

但是由于開發(fā)兄弟們的安全意識不夠，錯誤的配置導致了很多未授權(quán)訪問漏洞的產(chǎn)生。
利用fofa給出Mesos的查詢規(guī)則，body="ng-app=\"mesos\""||body="/static/css/mesos.css"

可以看到全網(wǎng)有471條記錄，其中存在未授權(quán)訪問的約20%。一個容器集群平臺控制的容器數(shù)量龐大，用來挖礦那是再好不過了~：） 于是對三種主流的容器進行驗證并完成poc如下：

 以Mesos為例，根據(jù)官方文檔，Mesos master 默認監(jiān)聽 5050 端口。 比較有用的一個 API 是 /flags，可以查看系統(tǒng)的配置情況，包括是否開啟權(quán)限認證。

Mesos從1.2 版開始才有了 exec 進入容器的功能，我們可以安裝一個命令工具連接容器從而控制容器。

docker容器是用原生的go語言編寫的，于是我們在github上可以找到許多成型的挖礦腳本：https://github.com/derekchiang/Mesos-Bitcoin-Miner/ 只需簡單的配置和編譯就可以進行挖礦。

必殺技--礦機挖礦篇

黑客當真就這么厲害么？當然不止，隨著代幣價格的提升，越來越多的挖礦設(shè)備--礦機被生產(chǎn)。

黑客可以分析礦機漏洞、弱口令控制在互聯(lián)網(wǎng)上其他礦民的礦機進行挖礦。

目前在互聯(lián)上未被披露，在fofa上檢索的語法，如螞蟻礦機：app="antminer"，在fofa有6778個結(jié)果 。

我們在選取一臺存在漏洞的礦機查看，可以看到用戶的錢包地址，密碼都可以看到。 

黑客可以將別人的錢包地址改為自己的，然后... 至此，F(xiàn)OFA 對市面上流行礦機品牌型號進行整理如下：

烤貓USB礦機 、Avalon3模組 、比特幣提取卡（0.05btc） 、Avalon2模組 、比特花園刀片礦機 、Avalon4模組 、比特幣雜志 、烤貓USB礦機(50個USB送專用HUB) 、Bitfury單板礦機36GH/s團購 、烤貓BOX現(xiàn)貨 、Avalon4模組 、新比特幣提取卡（0.05btc） 、Avalon2代芯片 、比特花園刀片 、Avalon1代芯片 、貝殼250G礦機 、阿杰200G 、Avalon 3模 、螞蟻礦機 、Avalon1代USB 、彩貝螞蟻機箱 、多彩USB礦 、Avalon2 單模組 、iMiner USB 、多彩USB 、龍礦T級 、阿杰T級 、多彩USB控制器 、Avalon2-2U整機 、阿杰2代 、Avalon三代芯片 、彩貝T機 、Gridseed礦機 、阿杰avalon3代 、龍礦萊特幣礦機 、Avalon3 1.2T套裝 、螞蟻S2 、Avalon3 整機 、井天萊特幣礦機 、小強USB礦機 、銀魚萊特幣礦機 、花園AM1.2T套裝 、小強Rocket Box 、小強礦機R3 、小強比特幣礦機 、宙斯萊特幣礦機 、宙斯芯片 、U盤萊特幣礦機 、螞蟻電源開關(guān) 、螞蟻S3++ 、銀魚51ASIC版 、龍礦1.5T 、烤貓原廠管子 、Avalon usb 礦機 、烤貓棱鏡1.4T 、螞蟻S4 、Avalon4.1單模組 、螞蟻C1 、螞蟻S5 、Avalon4 28nm 樣片A3222 、螞蟻礦機U3 、螞蟻電源APW3 1600W 、AvalonMiner 6.0 、Dr Series Ver2達世幣礦機 、蒙自石榴 、Baikal X11 Mini 、Baikal X11 900M 、Dr3 達世幣礦機 、顯卡挖礦機 、翼比特 E9礦機 、iBeLink 10.8G X11礦機 、Dr100 達世幣礦機。

并提取部分查詢規(guī)則。

縱觀黑客們對挖礦產(chǎn)業(yè)的技術(shù)迭代如下：

攻防永遠不對稱，黑客永遠在最前沿的戰(zhàn)場牟利，謹以此文讓朋友們了解黑客對虛擬貨幣的攻擊、牟利手法，并防患于未然。

此文為雷鋒網(wǎng)特別約稿，未經(jīng)同意請勿轉(zhuǎn)載。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。