2017 年底，一款名為“tlMiner”的挖礦木馬的傳播量達(dá)到峰值，12 月 20 日，騰訊電腦管家的安全研究員發(fā)現(xiàn)，有近 20 萬臺機(jī)器受到該挖礦木馬影響，并發(fā)現(xiàn)“tlMiner”挖礦木馬瞄準(zhǔn)的是“吃雞”玩家及網(wǎng)吧高配電腦，搭建挖礦集群。

竟然利用“外掛＋木馬”的形式搞起了鵝廠爆款游戲的用戶？這事忍不了。安全研究人員決定，一查到底。沒想到，追蹤起來，他們發(fā)現(xiàn)了許多奇葩事。

“高新技術(shù)”企業(yè)搞“副業(yè)”

2017年，一家大連當(dāng)?shù)馗咝录夹g(shù)企業(yè)偷偷發(fā)展起了副業(yè)。雖然這是一家號稱“高新技術(shù)”的企業(yè)，事實上，沒多少員工，和村口開小賣部的“夫妻店”規(guī)模不相上下。

2017 年 12 月，比特幣漲幅依舊驚人，主流幣種中，IOTA、XMR（門羅幣）、EOS表現(xiàn)十分亮眼。這家企業(yè)于是打起了挖礦的主意。

本來，這家號稱高新技術(shù)的企業(yè)是以推廣網(wǎng)絡(luò)廣告為主。有什么辦法可以利用現(xiàn)有分發(fā)渠道，“空手套白狼”一樣的做挖礦的生意呢？畢竟，采購專業(yè)礦機(jī)，搭建礦場也需要很高的成本。

這家企業(yè)的老板 A 想了個法子：構(gòu)建僵尸網(wǎng)絡(luò)，讓大家“集資”給給自己挖礦！

怎么結(jié)合現(xiàn)有業(yè)務(wù)打造一個巨大的僵尸網(wǎng)絡(luò)呢？

這一年，吃雞游戲火遍中國，A 注意到了一個優(yōu)秀的吃雞游戲外掛作者B，這個人做的付費掛不錯。于是，A 聯(lián)系上了 B ，稱自己這里有一個賺錢的好生意。

A 對 B 說，要在 B 開發(fā)的外掛里加入挖礦木馬，通過自己強大的分銷網(wǎng)絡(luò)推廣其外掛，B只要坐等分錢就好。

B 一聽，動了心。

黑吃黑的“合謀”

一場合謀開始了。

A 利用自家現(xiàn)有的軟件分發(fā)渠道“賣起了掛”，比如網(wǎng)吧聯(lián)盟、論壇、下載站和云盤渠道等，干得輕車熟路，風(fēng)生水起。

一不小心，在半年的時間里，他們構(gòu)造了一個涉及 389 萬臺電腦的僵尸網(wǎng)絡(luò)群，經(jīng)常打游戲的宅友可能知道，這些都是高配電腦，簡直是挖礦神器。

而且，這事干得極其隱秘。

“機(jī)智”的挖礦木馬“tlMiner”能夠檢測受感染機(jī)器的CPU使用情況，做出以下決策：

1.機(jī)器CPU利用一旦超過50%，倫家就不要你挖礦了。

2.如果倫家挖礦的行為要占據(jù)你40%的進(jìn)程，哦，抱歉，我退出。

3.主人在吃雞？為了不影響你的游戲速度，咱們的挖礦大業(yè)靠邊站。

4.電腦息屏，主人玩累了在休息？行，挖礦全速開進(jìn)。

“tlMiner”這么做，并不是因為它有良心，而是為了盡量降低自己對受感染電腦的影響，不被電腦主人發(fā)現(xiàn)，延長自己挖礦的時間。。。

所謂“謀財不害命”，專注自己的主業(yè)說的就是這個“誠懇”的挖礦木馬了。

A 還頗有商人的“素養(yǎng)”：咱家好歹是高新技術(shù)企業(yè)，主業(yè)還是彈廣告，所以這 389 萬臺電腦里，只要選出 100 萬臺高配電腦種挖礦木馬就行，其他電腦就老老實實地繼續(xù)彈廣告吧。

A 和 B 初步合作后，效果不錯，于是 A 給 B 的帳戶打了一筆不小的感謝費。

B 一看：這事可以搞??！A 居然能這么坐躺收錢，我也可以做是不是？

于是，“機(jī)智”的 B 在 A 不知情的情況下，偷偷在自己的外掛軟件上開了個后門，主挖 HSR（紅燒肉幣）。此刻，老板 A 正樂此不疲地繼續(xù)盯著 XMR（門羅幣）、SHR（超級現(xiàn)金幣）、BCD（比特幣鉆石）、SIA（云儲幣）、DGB（極特幣）等山寨幣繼續(xù)挖。

兩人看上去井水不犯河水。

事實上，為了不讓 A 察覺“好風(fēng)憑借力”的另一后門，B 也是費盡了心思：畢竟電腦的資源是有限的，當(dāng)然偶爾搶搶資源挖礦就好。但就是這樣一個后門，讓 B 在 A 的分銷渠道上繼續(xù)躺著賺了兩百來萬，A 則賺了 1000 多萬，兩人相安無事。

落網(wǎng)

直到 2017 年 12 月，這一木馬的傳播量引起了安全研究員在云端部署的安全大腦的警覺。

安全人員還發(fā)現(xiàn)，該挖礦木馬走了“白＋黑”的套路：某個正常的程序或進(jìn)程，調(diào)用了一個異常的模塊。

除了機(jī)器捕捉到的零散的行為，還有一項直接的證據(jù)：近 20 萬臺機(jī)器受到該挖礦木馬影響。

鵝廠安全運營部門的研究員把相關(guān)的樣本、分布情況、樣本來源、攻擊者的 IP 地址、控制服務(wù)器的 IP 地址、域名、病毒下載鏈接、受害電腦的 IP 地址信息等等信息收集整理成完整的安全威脅情報。研判之后認(rèn)為，這是一起威脅嚴(yán)重的網(wǎng)絡(luò)犯罪行為，可能危害上百萬臺電腦。有必要通過公司安全管理部門向國家執(zhí)法部門報告。

于是，電腦管家的運營團(tuán)隊趕緊和騰訊守護(hù)者計劃部門聯(lián)系，將這一線索反饋給了警方，拔出蘿卜帶出泥，找出了一個公司化運營的大型挖礦木馬黑色團(tuán)伙。

據(jù)《法制日報》報道，警方接案后，通過互聯(lián)網(wǎng)提取到外掛木馬樣本，找到木馬開發(fā)者建立的木馬交流群，初步落查發(fā)現(xiàn)該款木馬程序開發(fā)者為楊某寶。楊某寶通過建立了多個外掛討論群，在群文件中共享外掛程序，利用“天下網(wǎng)吧論壇”版主的身份，將上傳含有木馬的外掛程序到“天下網(wǎng)吧”論壇供網(wǎng)民下載，還有通過某網(wǎng)盤進(jìn)行分享下載的形式傳播外掛。

3 月 8 日，楊某寶被抓獲。原來，楊某寶曾為 58 迅推增值聯(lián)盟雇傭，利用該平臺增值客戶端非法挖礦共同獲利。警方順藤摸瓜，發(fā)現(xiàn) 58 迅推增值聯(lián)盟的幕后公司為大連某網(wǎng)絡(luò)科技有限公司。

4 月 11 日，警方抓獲該案全部涉案嫌疑人 16 名。隨后，警方對大連該網(wǎng)絡(luò)科技有限公司的下線進(jìn)行梳理，并開展抓捕。

原來，大連該網(wǎng)絡(luò)科技有限公司作為上線提供技術(shù)支持，研發(fā)了挖礦監(jiān)控軟件、集成挖礦程序，然后發(fā)展了全國幾百名下線從事代理。這些下線手中掌著全國 389 萬臺電腦的龐大資源，大連這家公司一一與下線達(dá)成合作協(xié)議，不僅向這 389 萬臺電腦發(fā)送廣告獲利，還選擇其中 100 多萬臺進(jìn)行后臺靜默挖礦，這兩部分的利潤由上線與下線按比例分成。

[區(qū)塊鏈木馬挖礦黑產(chǎn)流程圖]

＊＊花絮＊＊

一個好奇的編輯寶寶 VS 騰訊電腦管家高級安全專家李鐵軍

1.雷鋒網(wǎng)：如何評價這起案件的規(guī)模？

李：位于大連的“tlMiner”挖礦木馬團(tuán)伙，并不是我們捕捉到的規(guī)模最大的一個，但是其構(gòu)建的僵尸網(wǎng)絡(luò)是目前歸案的國內(nèi)同類案件中規(guī)模最大的一起。

300萬臺規(guī)模的僵尸網(wǎng)絡(luò)，如果搞DDoS攻擊，很容易造成網(wǎng)絡(luò)癱瘓。如果搜集肉雞電腦個人信息，比如遠(yuǎn)程控制桌面、攝像頭，后果也十分嚴(yán)重。因為現(xiàn)階段，絕大多數(shù)病毒的感染量都不高，能感染上千臺已經(jīng)算不錯了，上萬臺稱得上感染嚴(yán)重，百萬臺就是超級嚴(yán)重了。

2018 年 4 月，我們曾監(jiān)控到一個遍布全球的 PhotoMiner 木馬挖礦組織，該組織通過入侵感染FTP服務(wù)器、SMB服務(wù)器暴力破解來擴(kuò)大傳播范圍。自 2016 年首次被發(fā)現(xiàn)至今，PhotoMiner木馬團(tuán)伙通過門羅幣挖礦累計收入已達(dá)到令人驚嘆的 8900 萬人民幣，是 2018 年上半年的“黃金礦工”，但是，由于其服務(wù)器在國外，涉及到很多問題，抓捕有難度。

2.雷鋒網(wǎng)：在這起案件中，他們構(gòu)建了一個龐大的僵尸網(wǎng)絡(luò)，為什么不同時用來提供DDoS攻擊服務(wù)？

李：現(xiàn)在國家對DDoS攻擊監(jiān)控十分嚴(yán)密，后果很嚴(yán)重，這些人本就是圖財不想賠上命，而且挖礦收益大多了，所以。。。

3.雷鋒網(wǎng)：現(xiàn)在這些僵尸網(wǎng)絡(luò)除了打D、挖礦，還有什么生財之道？

李：我們監(jiān)測到，還有人可能利用各種手段獲取短視頻平臺以及社交網(wǎng)站的帳號組成僵尸粉大軍，搞水軍，刷評論，捧網(wǎng)紅。。。

4.雷鋒網(wǎng)：不同的僵尸網(wǎng)絡(luò)可能覆蓋同一些容易獲取的肉雞，要是大家都用它來挖礦，資源有限，互相打架怎么辦？

李：厲害的會踢掉之前的挖礦木馬，然后開展自己的挖礦大業(yè)。

5.雷鋒網(wǎng)：以前很多木馬主要干些鎖主頁、彈廣告、推廣軟件的臟活，現(xiàn)在它專注挖礦，用戶是不是“可能還能松了口氣”？

李：當(dāng)前個人電腦的主流配置性能很強，即使木馬已經(jīng)在挖礦，性能變差的直觀感受也并不明顯。只有挖礦木馬啟動挖礦程序，同時用戶啟動較耗資源的應(yīng)用，比如大型游戲，此時才會感覺電腦速度變慢、溫度升高、風(fēng)扇噪音增加等現(xiàn)象。通過大量計算機(jī)運算獲取數(shù)字貨幣獎勵，挖礦對電腦硬件配置要求比較高，主機(jī)經(jīng)常長期高負(fù)荷運轉(zhuǎn)，顯卡、主板、內(nèi)存等硬件會提前報廢，對電腦的損害極大（編輯腦補了潛臺詞：傻孩子，并沒有松口氣）。

雷鋒網(wǎng)注：該案件涉案團(tuán)伙落網(wǎng)信息參考自《法制日報》相關(guān)報道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。