云上挖矿大数据：黑客最钟爱门罗币

2018年，区块链项目在这一年上演着冰与火之歌，年初火爆的比特币在一年时间内跌去八成。除了巨大的市场波动之外，区块链领域本身的安全问题也逐渐凸显，与之相关的社会化问题不断显现。
“勒索”、“盗窃”、“非法挖矿”是区块链项目数字加密货币的三大安全威胁，其中云主机用户面临的首要安全问题是非法挖矿。
非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页，故基于浏览器的挖矿在公有云上并非较大的威胁。
反之，云上基于木马文件的入侵挖矿事件层出不穷，黑客通过用户云主机上的通用安全问题入侵并进行挖矿来直接获取利益，使得用户 CPU 等资源被耗尽，正常业务受到影响。这些被黑客利用的通用问题往往是由于用户缺乏安全意识而导致的。
腾讯安全云鼎实验室通过对云上挖矿木马的网络、文件、进程关联分析，在日常的安全对抗中，发现了大量黑客尝试入侵挖矿的行为。对此类行为的特征进行统计分析，将样本、恶意行为加入相关安全产品的规则库和算法模型，并进行有效地遏制和打击。本文对云上入侵挖矿行为共性进行了统计分析，帮助用户对挖矿行为进行防御，从而更好的保障腾讯云用户安全。
一、币种分析（挖矿目标分析）
对于云上挖矿，首要的话题是黑客入侵挖矿的目标，即挖矿币种。经过分析，云上黑客入侵挖矿的行为均采用矿池挖矿的形式，其主要特征是对矿池地址进行有规律地访问。云鼎实验室通过对矿池地址进行统计和归类，发现云上入侵挖矿币种主要是门罗币(XMR)、氪石币(XCN)和以利币(ETN)。
究其原因，早期的币种如比特币、莱特币等，其算法设计中挖矿行为的本质是进行重复的计算工作，而 CPU 不擅长并行运算，每次最多执行十几个任务，挖矿效率极低，黑客难以利用。相对而言， 显卡GPU 是数以千计的流处理器，一些顶级显卡挖矿效率是 CPU 的上百倍，所以传统的挖矿方式一般采用显卡 GPU 挖矿。而门罗币和以利币等第二代虚拟货币采用了 CryptoNight 算法，此种算法特别针对 CPU 架构进行优化，运算过程中需要大量的暂存器，不再依赖于GPU挖矿，且也没有对应的ASIC，于是黑客在入侵云主机之后更多会选择消耗机器 CPU 资源挖矿来直接获得利益，所以门罗币等币种可在以CPU 为主的云平台上流行。

在过去的一年中，即使门罗币价格一路下行，也挡不住黑客的热情，进一步对挖矿行为趋势的统计发现，公有云上门罗币挖矿的行为数量不仅没有下降，反而还在下半年持续攀升。
门罗币是匿名货币，其地址、交易金额、交易时间、发送方和接收方等信息完全隐匿，难以查询与追踪。因为黑客植入挖矿程序是违法行为，使用门罗币，就算发现主机被植入挖矿木马，也无法通过挖矿的地址、交易等信息查询到黑客的行踪。
云鼎实验室通过对数字货币的价格走势和挖矿热度进行关联，尝试对币种价格与挖矿热度进行分析，发现挖矿的热度与币种价格成正比关系（部分高价值币，比如门罗币，由于其本身持续存在的价值，不受此规律影响）。
对以利币的价格走势观察发现，其从1月中旬开始就呈下降趋势：

对以利币对应矿池的访问数据观察发现，其访问量也呈下降趋势，下半年已经基本无人问津，如下图：

所以整体观察可以发现，黑客入侵挖矿选择的币种与币种价值有关，对小币种的选择在一定程度上取决于其价格，挖矿热度与币种价格成正比；高价值的币种由于其持续存在的价值，不受此规律影响。
由于云主机的计算资源以CPU为主，黑客通过漏洞入侵用户机器选择的币种具有统一的特性，这些币种的算法主要以 CryptoNight 为主，可以直接使用 CPU 挖矿，不依赖于 GPU 就产生较大的效益。
二、矿池分析
对黑客的挖矿方式进一步分析发现，云上黑客入侵挖矿主要采用矿池挖矿的方式。
随着数字货币的火热，越来越多的人力和设备投入到各种币种的挖矿，导致各种币种的全网运算水准呈指数级别上涨，单个设备或者少量算力都难以获得区块奖励；而矿池挖矿是一种将不同少量算力联合运作的方式，以此提升获得区块奖励的概率，再根据贡献的算力占比来分配奖励。相比单独挖矿，加入矿池可以获得更稳定的收益，因此众多的矿工均采用矿池挖矿，黑客亦如此。以下为云上黑客入侵挖矿使用主要矿池列表：

通过对矿池地址进行归类统计发现，黑客入侵后挖矿使用最多的矿池为 minexmr.com。如下图，该矿池算力在全网门罗币矿池中排名第三。

门罗币目前全网算力(Hashrate)约为460MH/s，xmr.nanopool.org 就达到99.79MH/s，提供了门罗币20%以上的算力；pool.minexmr.com 达到62.78MH/s提供了门罗币13.6%的算力; xmr.pool.minergate.com 的算力也达到26.50MH/s；这些均是云上黑客入侵挖矿使用的主要矿池，意味着云上存在漏洞而被入侵挖矿的机器就是其中的矿工，是这些算力的贡献者。
而国内自建矿池也不甘示弱，皮皮虾、一路赚钱、和鱼池 (ppxxmr.com,yiluzhuanqian.com,f2pool.com) 受欢迎的程度分别排名第三、第四、第九。

[1] [2] [3]  下一页

2018年，区块链项目在这一年上演着冰与火之歌，年初火爆的比特币在一年时间内跌去八成。除了巨大的市场波动之外，区块链领域本身的安全问题也逐渐凸显，与之相关的社会化问题不断显现。
“勒索”、“盗窃”、“非法挖矿”是区块链项目数字加密货币的三大安全威胁，其中云主机用户面临的首要安全问题是非法挖矿。
非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页，故基于浏览器的挖矿在公有云上并非较大的威胁。
反之，云上基于木马文件的入侵挖矿事件层出不穷，黑客通过用户云主机上的通用安全问题入侵并进行挖矿来直接获取利益，使得用户 CPU 等资源被耗尽，正常业务受到影响。这些被黑客利用的通用问题往往是由于用户缺乏安全意识而导致的。
腾讯安全云鼎实验室通过对云上挖矿木马的网络、文件、进程关联分析，在日常的安全对抗中，发现了大量黑客尝试入侵挖矿的行为。对此类行为的特征进行统计分析，将样本、恶意行为加入相关安全产品的规则库和算法模型，并进行有效地遏制和打击。本文对云上入侵挖矿行为共性进行了统计分析，帮助用户对挖矿行为进行防御，从而更好的保障腾讯云用户安全。

www.wnhack.com

一、币种分析（挖矿目标分析）
对于云上挖矿，首要的话题是黑客入侵挖矿的目标，即挖矿币种。经过分析，云上黑客入侵挖矿的行为均采用矿池挖矿的形式，其主要特征是对矿池地址进行有规律地访问。云鼎实验室通过对矿池地址进行统计和归类，发现云上入侵挖矿币种主要是门罗币(XMR)、氪石币(XCN)和以利币(ETN)。
究其原因，早期的币种如比特币、莱特币等，其算法设计中挖矿行为的本质是进行重复的计算工作，而 CPU 不擅长并行运算，每次最多执行十几个任务，挖矿效率极低，黑客难以利用。相对而言， 显卡GPU 是数以千计的流处理器，一些顶级显卡挖矿效率是 CPU 的上百倍，所以传统的挖矿方式一般采用显卡 GPU 挖矿。而门罗币和以利币等第二代虚拟货币采用了 CryptoNight 算法，此种算法特别针对 CPU 架构进行优化，运算过程中需要大量的暂存器，不再依赖于GPU挖矿，且也没有对应的ASIC，于是黑客在入侵云主机之后更多会选择消耗机器 CPU 资源挖矿来直接获得利益，所以门罗币等币种可在以CPU 为主的云平台上流行。
本文来自无奈人生安全网
在过去的一年中，即使门罗币价格一路下行，也挡不住黑客的热情，进一步对挖矿行为趋势的统计发现，公有云上门罗币挖矿的行为数量不仅没有下降，反而还在下半年持续攀升。
门罗币是匿名货币，其地址、交易金额、交易时间、发送方和接收方等信息完全隐匿，难以查询与追踪。因为黑客植入挖矿程序是违法行为，使用门罗币，就算发现主机被植入挖矿木马，也无法通过挖矿的地址、交易等信息查询到黑客的行踪。
云鼎实验室通过对数字货币的价格走势和挖矿热度进行关联，尝试对币种价格与挖矿热度进行分析，发现挖矿的热度与币种价格成正比关系（部分高价值币，比如门罗币，由于其本身持续存在的价值，不受此规律影响）。
对以利币的价格走势观察发现，其从1月中旬开始就呈下降趋势：

对以利币对应矿池的访问数据观察发现，其访问量也呈下降趋势，下半年已经基本无人问津，如下图：
www.wnhack.com
所以整体观察可以发现，黑客入侵挖矿选择的币种与币种价值有关，对小币种的选择在一定程度上取决于其价格，挖矿热度与币种价格成正比；高价值的币种由于其持续存在的价值，不受此规律影响。
由于云主机的计算资源以CPU为主，黑客通过漏洞入侵用户机器选择的币种具有统一的特性，这些币种的算法主要以 CryptoNight 为主，可以直接使用 CPU 挖矿，不依赖于 GPU 就产生较大的效益。
二、矿池分析
对黑客的挖矿方式进一步分析发现，云上黑客入侵挖矿主要采用矿池挖矿的方式。
随着数字货币的火热，越来越多的人力和设备投入到各种币种的挖矿，导致各种币种的全网运算水准呈指数级别上涨，单个设备或者少量算力都难以获得区块奖励；而矿池挖矿是一种将不同少量算力联合运作的方式，以此提升获得区块奖励的概率，再根据贡献的算力占比来分配奖励。相比单独挖矿，加入矿池可以获得更稳定的收益，因此众多的矿工均采用矿池挖矿，黑客亦如此。以下为云上黑客入侵挖矿使用主要矿池列表：

通过对矿池地址进行归类统计发现，黑客入侵后挖矿使用最多的矿池为 minexmr.com。如下图，该矿池算力在全网门罗币矿池中排名第三。 copyright 无奈人生

门罗币目前全网算力(Hashrate)约为460MH/s，xmr.nanopool.org 就达到99.79MH/s，提供了门罗币20%以上的算力；pool.minexmr.com 达到62.78MH/s提供了门罗币13.6%的算力; xmr.pool.minergate.com 的算力也达到26.50MH/s；这些均是云上黑客入侵挖矿使用的主要矿池，意味着云上存在漏洞而被入侵挖矿的机器就是其中的矿工，是这些算力的贡献者。
而国内自建矿池也不甘示弱，皮皮虾、一路赚钱、和鱼池 (ppxxmr.com,yiluzhuanqian.com,f2pool.com) 受欢迎的程度分别排名第三、第四、第九。
www.wnhack.com

[1] [2] [3]  下一页 内容来自无奈安全网

。 (责任编辑：admin)