谁动了我的金矿：深度采集黑色生产矿山的先进方法

雷锋网编者按：随着虚拟货币的兴起和升值，越来越多的人加入“矿工”行列，开始挖矿生意。 雷锋网1月23日对挖矿木马进行盘点，发文吃鸡、蹭网、看电影，揭秘8种奇葩挖矿木马赚钱的秘诀。 哪里有利益，哪里就有黑工业。 在代币这块大蛋糕上，黑市从业者是如何操作的，有哪些不同？ 近日，Zake Channel 向一家安全公司发出了特别邀请。 公司网络安全研究人员对非法挖矿进行了深入分析，向我们展示了先进的非法挖矿方式。

黑客服务器、网站

首先介绍一下黑客是如何侵入服务器和网站进行挖矿的，例如：弱口令爆破服务器、web渗透进行挖矿。

现在，黑客们不再执着于服务器端的挖矿方式，web成为了他们的攻击目标。 黑客通过入侵网站在自己的网页中嵌入js代码。 当您访问该网页时，您将为黑客工作。

如果哪天你的CPU突然爆满，电脑卡住了，说不定你就成了别人的矿工了。

下图是访问门罗币挖矿网站导致CPU飙升的情况。

通过fofa查询语法：body="coinhive.com/lib/captcha.min.js"，可以在全网找到带有挖矿脚本的网站。

当然现在的防护软件查杀挖矿脚本，但是还是有很多挖矿脚本被js修改过，无法识别。 进一步收集它们的特征可以找到其他受害网站。

新蛋糕的陨落——物联网设备挖矿

随着BTC的暴涨，整个匿名数字货币都涨了。 其匿名、安全、不可追踪的特性为网络黑客的成长带来了春天。 自今年 5 月 SambaCry 漏洞以来，大量野外利用漏洞攻击物联网设备进行 CPU 计算。 算力挖矿（XMR Monero）、物联网设备数量之多、漏洞修复推送的不及时，使其成为挖矿黑业的新贵。

2017年是我国物联网安全元年，物联网安全问题频频被爆出。 3月大华摄像头漏洞，4月Cisco路由器漏洞，6月海康摄像头漏洞，TP-Link路由器命令注入漏洞，D-link dir系列路由器漏洞，直到12月Satori僵尸网络导致的华为路由器0day漏洞。

从 Mirai 到 IoT_reaper 再到物联网挖矿，黑客对物联网的使用已经成熟。 然而，制造商对安全的概念仍然很模糊。 除了物联网设备碎片化、固件升级麻烦之外，厂商的安全应对措施几乎没有。

黑客只需要几个简单的步骤就可以控制物联网设备，例如：

1、弱口令和默认口令（部分设备使用简单口令，或者使用厂商初始口令，黑客可以毫不费力地登录）

2.未验证授权问题（黑客可以获取后台配置页面和管理页面的未授权访问。直接重定向路由器的流量。）

3.硬编码问题（一些重要的key泄露导致设备掉线）

4. 一些0day漏洞

一旦黑客控制了你的路由器，可以控制你的出口流量，你只需要重定向或污染你的流量，让你访问一个包含类似门罗币挖矿脚本的页面，你就可以成为一名矿工。

另一种是直接控制路由器系统，可以用qemu交叉编译你的挖矿脚本在路由器上挖矿。

路由器的算力虽然比不上一些服务器和矿机，但是基数比较大，一旦控制的数量太多btc挖矿平台官网，就会很恐怖。

在fofa中我们可以看到有102242个匹配到D-link850系列固件的路由器的结果。

进阶黑客——docker挖矿篇

大数据、云、人工智能……互联网新时代的产物，让人们的生活变得不可思议。

但是，安全技术的发展必须在其他互联网技术之后。 先有某个产品，再有这个产品的漏洞。

docker的发明让大数据的发展如虎添翼，于是容器集群管理平台也应运而生。

（docker是一个开源的应用容器引擎，允许开发者将他们的应用和依赖包打包到一个可移植的容器中，然后发布到任何流行的Linux机器上，虚拟化也是可能的。）

目前主流的容器集群管理技术有Docker官方的Docker Swarm、Apache的Mesos和Google的Kubernetes。

但是由于开发兄弟们缺乏安全意识，错误的配置导致了很多未授权访问的漏洞。

使用fofa给Mesos查询规则，body="ng-app=\"mesos\""||body="/static/css/mesos.css"

可以看到全网共有471条记录，其中约20%为非授权访问。 一个容器集群平台控制着大量的容器，非常适合挖矿~:) 所以验证了三大主流容器，poc完成如下：

以Mesos为例，根据官方文档，Mesos master默认监听5050端口。 一个比较有用的API是/flags，它可以检查系统的配置，包括是否启用授权认证。

Mesos从1.2版本开始只有exec进入容器的功能。 我们可以安装一个连接容器的命令工具来控制容器。

docker容器是用原生go语言编写的，所以我们在github上可以找到很多成型的挖矿脚本： 简单的配置编译即可挖矿。

Nirvana-矿机挖矿

黑客真的有那么厉害吗？ 当然不止于此，随着代币价格的上涨，越来越多的挖矿设备——矿机被生产出来。

黑客可以通过分析矿机漏洞和弱密码来控制互联网上其他矿工的矿机进行挖矿。

目前，该消息并未在网上公开。 在fofa上检索到的语法，如ant mining machine: app="antminer"，在fofa上有6778条结果。

我们选择有漏洞的矿机进行检测，可以看到用户的钱包地址和密码。

黑客可以将别人的钱包地址改成自己的，然后…… 至此，FOFA整理了市面上流行的矿机品牌和型号如下：

烤猫USB矿机，Avalon3模块，比特币提取卡（0.05btc），Avalon2模块，比特花园刀片矿机，Avalon4模块，比特币杂志，烤猫USB矿机（50个USB送专用HUB），Bitfury单板矿机36GH/s团购，烤猫BOX现货，Avalon4模块，新款比特币提现卡（0.05btc），Avalon2代芯片，比特花园刀片，Avalon1代芯片，壳牌250G矿机，阿杰200G。 2U整机阿杰2代阿瓦隆3代芯片菜贝T机格子矿机阿杰阿瓦隆3代龙矿莱特币矿机Avalon3 1.2T套装蚂蚁S2 Avalon3整机景天莱特币矿机小强USB矿机，银鱼莱特币矿机，花园AM1.2T套装，小强火箭盒子，小强矿机R3，小强比特币矿机，宙斯莱特币矿机，宙斯芯片，U盘莱特币挖矿矿机btc挖矿平台官网，蚂蚁电源开关，蚂蚁S3++ ,银鱼51 ASIC版,龙矿1.5T,烤猫原管,阿瓦隆usb矿机,烤猫棱镜1.4T,蚂蚁S4,Avalon4.1单模,蚂蚁C1,蚂蚁S5,Avalon4 28nm样机A3222,蚂蚁U3, Antpower APW3 1600W, AvalonMiner 6.0, Dr Series Ver2 Dash矿机, 猛自石榴, Baikal X11 Mini, Baikal X11 900M, Dr3 Dash矿机, 显卡挖矿机, 翼比特E9矿机, iBeLink 10.8G X11矿机，Dr100达世币矿机。

并提取一些查询规则。

纵观黑客对挖矿行业的技术迭代，如下：

攻击和防御总是不对称的，黑客总是冲在最前沿获取利益。 本文旨在让小伙伴们了解黑客对虚拟货币的攻击、获利方式，防患于未然。