文章总结： 本文介绍了挖矿木马的定义、特征及传播途径，分析了漏洞利用与弱口令等入侵方式。文章指出CPU异常为显著特征，提供了判断入侵时间的方法，并强调了解网络部署环境与划分安全域对控制感染面积的重要性。 综合评分： 70 文章分类： 应急响应,恶意软件,漏洞分析

简单挖矿木马网络安全应急响应

原创

照夜清安全cc

照夜清安全

2025年12月28日 18:18 山东

1.1挖矿木马简介

挖矿早期主要与比特币相关，简单来说，挖矿就是利用比特币挖矿机赚取比特币。挖矿木马又称挖矿病毒，是利用各种方式入侵计算机，利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。既可以是一段自动化扫描、攻击的脚本，也可以集成在单个可执行文件中。

1.2挖矿木马特征

1.利用漏洞传播

大部分挖矿都是由于受害者主机上存在常见漏洞，如Windows系统漏洞、中间件漏洞、服务器插件漏洞、Web漏洞等，利用系统漏洞快速获取服务器权限，植入挖矿木马。

2.通过弱密码爆破传播

这种方式攻击时间较长

3.通过僵尸网络传播

攻击者通过任务计划、数据库储存过程、WMI（Windows系统核心管理技术）等技术进行持久化攻击，很难被清除，还会随时从服务器下载最新版本挖矿木马，控制主机进行挖矿。

4.采用无文件攻击方式传播

通过Powershell中嵌入PE文件加载形式，达到执行“无文件”形式挖矿攻击。导致新的木马执行方法没有文件落地，会直接在powershell.exe进程中实现。

如下图所示，多了很多异常进程。

5.利用网页挂马传播

在网页内嵌入JS脚本，用户一旦进入此网页，脚本会自动执行，自动下载挖矿木马。

6.利用软件供应链攻击传播

攻击者在后台配置文件中插入木马下载链接，导致在软件升级时下载木马文件。

7.利用社交软件、邮件传播

攻击者将木马程序伪装成正规软件、热门文件等，受害者一旦打开相关软件或文件就会激活木马。

8.CPU使用率异常升高：

这是最明显的特征之一。由于挖矿活动需要大量的计算资源，系统CPU使用率可能会持续维持在接近100%的水平。即使在空闲状态下，用户也会观察到CPU负载远高于正常情况。例如，一个原本应该只有20%-30% CPU使用率的闲置工作站，可能会突然飙升至80%-90%，并且长时间保持在这个高位。

如下图所示，

1.3挖矿木马利用的常见漏洞

挖矿木马入侵服务器所使用的漏洞主要有弱密码、未授权访问、命令执行漏洞。

1.4如何判断遭遇了挖矿木马

1.被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、部分服务无法正常运行等现象；

2.通过服务器性能检测设备查看服务器性能，从而判断异常；

3.挖矿木马会与矿池地址建立连接，可通过查看安全检测类设备告警判断。

如图，是阿里云的一个挖矿病毒告警信息

1.5如何判断挖矿木马挖矿时间

1.查看挖矿木马文件创建时间。但是挖矿程序常利用任务计划方法定时运行，每次运行将会更新文件运行时间。

2.查看任务计划创建时间。但任务计划也可能存在更新的情况，若进行了二次更新，则会刷新更新时间。

3.查看矿池地址。挖矿木马会与矿池地址建立连接，所以可通过安全检测类设备查看第一次连接矿池时间，因此也可以作为判断依据。

1.6为什么要了解网络部署环境

了解网络部署环境才能进一步判断传播范围。需要了解的内容包括：网络架构、主机数据、系统类型、相关安全设备（如流量设备、日志检测等）。若内网没有划分安全域，那么病毒也可能会在内网大面积传播；如果内网划分了安全域，那么可以有效减小感染面积。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：照夜清安全 照夜清安全cc《简单挖矿木马网络安全应急响应》