腾讯报告：上半年区块链安全造成27亿美元损失(附全文)

，单日影响机器量最高可达20万台。随即在3月份配合腾讯守护者计划安全团队，协助山东警方快速打击木马作者，并在4月初打掉这个链条顶端的黑产公司。据统计，该团伙合计挖掘DGB（极特币）、HSR（红烧肉币）、XMR（门罗币）、SHR（超级现金）、BCD（比特币钻石）等各种数字加密货币超过2000万枚，非法获利逾千万。

2018年2月，腾讯电脑管家发现一款门罗币挖矿木马藏身在上百款《荒野行动》辅助二次打包程序中传播，并在2月中下旬通过社交群、网盘等渠道传播，出现明显上涨趋势。

2018年5月，腾讯御见威胁情报中心感知到一款名为“520Miner”的挖矿木马通过游戏外挂传播，控制数千台机器挖了好几天的矿，最终收获67枚VIT币，总价值不到一毛钱人民币，可以说是史上最能穷折腾的挖矿木马。

（2）利用网页挂马，大范围传播

挖矿木马的传播渠道不限于通过伪装成电脑软件下载，还普遍采用了网页挂马这种最高效率的传播方式。

2018年4月12日，腾讯御见威胁情报中心监测到国内一起大规模的网页挂马事件。当天包括多款知名播放器软件、视频网站客户端、常见的工具软件在内的50余款用户量千万级别的电脑软件遭遇大规模网页挂马攻击。

攻击者将攻击代码通过某广告联盟的系统主动分发带毒页面，而这个带毒页面被内嵌在50余款千万级别用户群的常用软件中，这些用户的电脑一开机会主动连网下载广告资源，电脑会因此下载若干个病毒，其中就包括挖矿病毒。腾讯电脑管家当天拦截超过20万次病毒下载。

此外，腾讯御见威胁情报中心还监测到一款挖矿病毒感染量异常增高，经病毒溯源分析发现，受害者电脑上的挖矿木马均来自某些打着“人体艺术”旗号的色情网站。

当网民浏览这些网站时，由于部分系统存在Flash高危安全漏洞，打开网页会立刻中毒。之后，受害者电脑便会运行挖矿代码，电脑沦为一名矿工。攻击者会控制大量矿工电脑集中算力挖矿，并以此牟利。

（3）入侵控制企业服务器，组建僵尸网络云上挖矿

随着各种数字加密货币的挖矿难度越来越大，通过普通用户的个人电脑难以实现利益最大化。而实施短时间内的大范围挖矿，除了网页挂马，最普遍的作法就是控制肉鸡电脑组建僵尸网络挖矿。服务器性能强、24小时在线的特征，吸引更多不法矿工将攻击目标转向企业、政府机构、事业单位的服务器实现云上挖矿。

腾讯御见威胁情报中心曾发现一个感染量惊人的“PhotoMiner木马”，通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围。查询木马控制的门罗币钱包地址，发现该木马控制肉鸡电脑挖到8万枚门罗币，挖矿累计收益达到惊人的8900万人民币，是名副其实的“黄金矿工”。

腾讯安全云鼎实验室通过对DNS请求的矿池地址进行统计和归类，发现云上挖矿币种主要是XMR（门罗币）、以太币（ETH）和ETN（以利币）。对云主机服务器上挖矿木马最常连接的矿池地址进行了统计，发现xmr.pool.minergate.com使用频率最高。

其中部分在国内流行的挖矿木马使用了自建矿池的方式进行挖矿，这主要是出于使用第三方矿池，第三方矿池会收取一定的手续费，而使用自建矿池的方式可以减少这些不必要的费用支出。

通过对数字货币的价格走势和挖矿热度进行关联分析，发现挖矿的热度与币种价格成正比关系。这也再次验证，网络黑产的目标就是追求利益的最大化。观察ETN（以利币）的价格走势，我们可以发现从其从1月中旬开始呈下降趋势：

而观察其对应矿池的访问，发现也是下降趋势：

通过对历史捕获挖矿案例的分析，云上挖矿通常是一种批量入侵方式，而由于其批量入侵的特性，所以利用的也只能是通用安全问题，比如系统漏洞、服务漏洞，而最常见的是永恒之蓝、Redis未授权访问问题、Apache Struts 2漏洞导致企业Web服务器被批量入侵。

攻击者还擅长使用挖矿木马生成器、弱口令攻击字典等攻击工具入侵服务器，再大量扩散挖矿木马。

（4）网页挖矿：在正常网址插入挖矿代码

由于杀毒软件的存在，许多挖矿木马文件一落地到用户电脑就可能被拦截，不利于扩大挖矿规模，更多攻击者倾向实施网页挖矿：通过入侵存在安全漏洞的网站，在网页中植入挖矿代码。访客电脑只要浏览器访问到这个网页，就会沦为矿工。

在挖矿的网站类型中，色情网站占比最高，其次是视频网站和博客、论坛。用户在此类网站观看视频、阅读文章，停留时间较长，黑客利用这些网站进行挖矿，可以获取较高的收益。

在矿池方面最早出现的coinhive矿池占据网页挖矿中的最大比例，与coinhive同一平台的authemine矿池占11%；基于coinhive建立的ppoi矿池和cryptoloot矿池分别占比21%、4%。

2.2下半年挖矿木马的传播趋势

数字加密货币在2018年上半年持续暴跌，比特币已从去年年底的2万美元，跌至现在不足7000美元，“炒币”热似在降温，但这并没有影响挖矿木马前进的脚步，毕竟挖矿木马是靠肉鸡挖矿赚钱，勿需投入物理设备，而从最近爆出的挖矿木马事件中发现，挖矿木马可选择的币种越来越多，设计越来越复杂，隐藏也越来越深，下半年的挖矿将会持续活跃，与杀毒软件的对抗会愈演愈烈。

（1）全能型挖矿木马产生，同时带来多种危害

PC病毒的名字通常包含了病毒的来源、传播路径、目的等信息，如“Trojan.StartPage”代表这是一类锁主页木马，“Backdoor.GrayBird”属于灰鸽子后门病毒，如今在杀软的强力打击之下，病毒木马“栖息地”越来越少，拓展“业务”已成为众多病毒木马的首要任务，挖矿木马也不例外。

上半年出现的“Arkei Stealer”木马，集窃密、远控、DDoS、挖矿、盗币于一体，可谓木马界“全能”。下半年的挖矿木马或将集成更多的“业务”，通过各种渠道入侵至用户机器。

（2）隐藏技术更强，与安全软件对抗愈加激烈

病毒发展至今，PC机上隐藏技术最强的无疑是B/Rootkit类病毒，这类木马编写复杂，各模块设计精密，可直接感染磁盘引导区或系统内核，其权限视角与杀软平行，属于比较难清除的一类病毒。

此类病毒常用于锁主页及勒索，而近期发现R/Bookit技术也被应用于挖矿木马中，使挖矿木马的隐藏技能提升几个档次。下半年数字加密货币安全形势依然严峻，挖矿木马的隐藏对抗或将更加激烈。

3.数字劫匪“铤而走险”攻击交易所，半年获利约7亿美元

除了勒索病毒造成的损失，盗窃行为也同样可对数字加密货币持有者造成大量损失，从数字加密货币诞生初期，数字加密货币被盗的新闻就层出不穷。目前盗取数字加密货币的方式大致4种：入侵交易所，入侵个人用户，“双花攻击”，漏洞攻击。

3.1数字加密货币交易平台被攻击

数字加密货币交易所被攻击，仅2018年上半年就损失了约7亿美元。

（1）2018年1月日本最大的数字加密货币交易所Coincheck被盗走价值5.34亿美元的NEM（新经币）；

（2）2018年3月7日，Binance交易锁被入侵，此次为大规则通过钓鱼获取用户账号并试图盗币事件；

（3）2018年4月13日，印度数字加密货币交易所CoinSecure被438枚比特币，疑为内部人员监守自盗；

（4）2018年6月10日，韩国数字加密货币交易所Coinrail被攻击，损失超过5000万美元；

（5）2018年6月20，韩国数字加密货币交易所Bithumb被黑客攻击，价值3000万美元的数字加密货币被盗，这是Bithumb第三次被黑客攻击了。

3.2个人账号遭入侵

（1）通过植入病毒木马窃取钱包文件

2018年2月腾讯电脑管家发现大量利用Office公式编辑器组件漏洞（CVE-2017-11882）的攻击样本，通过下载并运行已被公开源码的Pony木马，窃取用户比特币钱包文件等敏感信息。

2018年3月，一款基于剪切板劫持的盗币木马在国内出现，该木马使用易语言编写，通过激活工具、下载站到达用户机器，木马会监视用户剪切板，一旦发现有钱包地址，则替换为木马的钱包地址，木马内置30多个钱包地址，且部分钱包已经有盗取记录。

此外，腾讯御见威胁情报中心分析发现，越来越多的病毒会尝试劫持数字加密币交易钱包地址，当受害者在中毒电脑上操作数字加密货币转帐交易时，病毒会迅速将收款钱包地址替换为病毒指定的地址，病毒行为就如同现实中的劫匪。类似病毒在电脑网购普及时也曾经出现，病毒在交易完成的一瞬间，将受害者资金转入自己指定的交易账户。

（2）内部盗取加密货币

2018年3月份，北京某互联网攻击员工利用职务便利，在公司服务器部署恶意代码，盗取该公司100个比特币，目前已经被依法逮捕，这是北京首例比特币盗窃案。

3.3“双花攻击”

“双花攻击”是控制某数字加密货币网络51%算力之后，对数字加密货币区块链进行攻击，可实现对已经交易完成的数据进行销毁，并重新支