网络安全|"挖矿"木马病毒危害巨大(2)

严重低估的挖矿木马危害
新基建推动企业全面数字化，越来越多的政企机构将业务上云，公共服务、生产生活各方面效率由此快速提高，人人成为数字化的受益者。与此同时，数字化转型过程中出现新的安全风险，比如信息泄露几乎影响每一个人。人们对数字化系统的依赖，对系统稳定运行有极高的要求。如果业务服务因故中断，会给社会功能正常运转带来很多麻烦。
挖矿木马攻击，就是发生率较高，极可能造成业务系统中断的一类威胁，是最常见的网络攻击。根据腾讯安全团队最新检测结果，在公有云的攻击事件当中，以挖矿为目的的入侵占比54.9%，已超过一半，腾讯云在过去30天累计检测到挖矿木马攻击事件超过6000起。有境外科技媒体报道，挖矿木马攻击在所有安全事件中超过25%。
黑客通过各种技术手段传播扩散挖矿木马，木马控制的计算机越多，木马生存时间越长，获得的挖矿收益也就越多。挖矿木马最明显的影响是大量消耗系统资源，使系统其他软件或服务运行缓慢，性能变差。云主机若被挖矿木马入侵，正常服务可能因性能变差而速度变慢，甚至服务崩溃中断，管理员通过top -c命令查看系统进程，会发现CPU占用超高。

挖矿木马为实现长期驻留隐蔽挖矿的目标，会采用很多技巧。腾讯安全专家分析发现，有挖矿木马会设置一个占用系统资源的上限，比如不超过80%。部分挖矿木马设计了检测系统工具运行的能力，当检测到进程管理器启动时，挖矿进程马上停止。或只在电脑黑屏时挖矿，有人操作电脑时退出等等。还有其他一些复杂的技巧，包括隐藏进程，或替换、伪装系统进程，欺骗管理员排查等。
很多人认为挖矿木马只不过让系统变慢，消耗系统资源，不会有破坏性后果。这种看法严重低估了挖矿木马的危害，挖矿木马的影响远不止这些。
腾讯安全团队日常运营中分析了大量挖矿木马家族，除了大量消耗受害者主机计算机资源，干扰正常业务运行。挖矿木马普遍具备以下行为：
添加SSH免密登录后门
添加具备管理员权限的帐户
安装IRC后门，接受远程IRC服务器的指令
支持替换多个系统工具：ps、top、pstree等