新的网络美食：韭菜和肉鸡 |区块链数字货币挖矿木马案例分析

大家好，我是鹅大师（严肃脸）。今天想和大家分享很多干货。首先，我想问你几个问题：

你有没有被拉进“稳赚不亏”的推荐组，却以“稳亏不亏”收场？ ?

您是否经历过莫名其妙的停机时间而不知道原因？

你的手机被别人偷偷监控了吗？

这些都是网络犯罪的苦恼。

随着信息技术的发展，网络犯罪和利用新技术的犯罪层出不穷。必须治愈。

为此，我们选取​​了十个在实战中具有前沿性和复杂性的疑难案例和研究报告，分享经验，梳理脉络，为网络犯罪的预防、打击和治理做出了微薄的贡献。 .

从今天开始，每周四，听鹅大爷聊（chui）聊（niu）啃（bi）。

今天我们要分享一个前沿且典型的新型互联网犯罪案例——区块链数字货币挖矿木马案。

本案中，多达389万台电脑主机被黑产管控侵犯。鹅大师将首先还原一个典型的受害者小林的故事。

小林是个热爱游戏的年轻人。为了开心地玩游戏，他花重金买了一台高端游戏电脑，安装了各种流行的电脑游戏。

有一天数字货币挖矿案件，小林在游戏论坛看到一个免费的游戏外挂，号称可以自动打怪，于是下载并安装了外挂软件。

这个插件确实可以帮助小林自动打怪，但是小林发现了一个新问题。自从安装了这个软件，电脑还没有运行游戏，只是看新闻，CPU使用率暴涨，电脑迅速发热，风扇转，电池电量迅速下降。

小林纳闷，新买的电脑怎么这么快就坏了？

其实小林的电脑硬件并没有什么问题，只是在外挂软件上有些猫腻。在安装插件的同时，还偷偷在电脑里安装了一个数字货币挖矿软件，把小林的电脑变成了“肉鸡”。

挖矿木马最早出现于2013年，但一直没有被外界注意到。

2017年，由于勒索病毒的大规模爆发，区块链和数字货币的概念开始流行，比特币、以太坊等数字货币的交易价格持续上涨。许多人看好数字货币的发展，纷纷加入。 “挖矿”大军，不法分子悄悄将木马植入用户电脑和网页，牟取非法利润。

案例全景展示

技术应用

据腾讯统计，目前已发现20多个挖矿僵尸网络，其中较大的包括PhotoMiner、Myking等，感染用户数超过100万。

其中的PhotoMiner具有很强的自我复制和扩散能力。通过暴力破解入侵感染FTP服务器和SMB服务器，扩大传播范围，构建挖矿僵尸网络。

数据显示，PhotoMiner非法控制大量用户电脑为其挖矿80094个XMR（门罗币），非法获利超过8900万元。挖矿僵尸网络已遍布全球，感染率排名前三位的国家是中国（26%）、美国（25%）和德国（12%）。

（Photominer僵尸网络全球感染区域分布）

随着技术手段的不断更新，JS挖矿已经成为一种新的刑法趋势。黑客通过渗透服务器并在网站中植入挖矿JS脚本来渗透服务器。当用户访问相关网站页面时，用户电脑会执行嵌入的挖矿JS脚本，连接黑客指定的矿池，接收挖矿收益任务。 .

另外，通过在用户浏览器插件中植入挖矿JS脚本，在用户浏览网页时加载插件进行挖矿。这种使用JS脚本进行挖矿的新型黑产逐渐成为黑产帮派的新方向。

注意：JS：全称java，是从Netscape的Live开发的脚本语言。主要目的是解决服务器端语言留下的速度问题。 （搜狗百科）

（JS挖矿网站类型占比）

据腾讯电脑管家统计，每天大约有800个用户。 4000多个网站和4000多个网页被黑客植入JS挖矿脚本。这些网站和页面主要包含色情、小说、视频等高流量内容。用户访问网站页面后，被动参与挖矿团队。

黑色产业链分析

由于挖矿木马的隐蔽性，即使用户的电脑感染了木马也不容易立即察觉。挖矿木马悄悄潜伏在用户电脑中，定期启动挖矿程序进行计算，消耗大量用户电脑资源，导致用户电脑性能下降，运行速度变慢，硬件损耗增加。因此，挖矿木马逐渐成为黑帮获取数字加密货币的最重要手段。

挖矿木马的黑产模式：

黑产团伙将挖矿木马打包成热门或特定程序，如热门游戏插件、海豚加速器、盗版侵权视频软件等；通过网吧联盟、论坛、下载网站、云盘等多种渠道推广和传播挖矿木马打包的应用，诱导用户下载安装木马。非法控制已植入木马的电脑终端，连接指定矿池地址，指定黑产帮派账户挖矿。

关键点分析

案件的危害

犯罪团伙利用木马非法控制全国389万台电脑主机可以进行各种严重的网络犯罪。比如利用这些海量网络终端资源对特定目标发起DDOS攻击，导致目标瘫痪；通过木马程序推送首页广告、桌面图标广告等非法营利行为；还可以推送钓鱼网站页面实施电信网络诈骗，带来重大网络安全隐患。

由于数字货币“分布式数据存储、点对点传输、共识机制、加密算法”的去中心化和匿名特性，长期以来一直是“暗网”中流行的结算货币，其中包括黑客攻击、公民信息等数据交易、“黄赌毒枪”等非法交易等各类违法犯罪活动，提供资金结算和清洗，对国家网络安全和金融安全构成威胁。

适用法律

目前，非法控制他人计算机实施“挖矿”行为的案件普遍适用刑法第285条非法控制计算机。信息系统犯罪判定。

原因在于，一方面，僵尸网络是通过蠕虫病毒、木马感染等手段形成的，将攻击者的计算机置于自己的控制之下，自动执行计算任务。其行为与非法控制计算机信息系统相一致。犯罪要素。

另一方面，对于“挖矿”行为本身来说，虽然数字货币的法律地位不被承认，但挖矿行为本身本质上是一种使用资源的计算行为，很难评价是否违法或甚至犯罪，所以它不同于利用僵尸网络进行网络攻击等行为。有必要对肇事者非法控制他人计算机的行为进行评估。

根据刑法第285条：【非法侵入计算机信息系统罪；建设尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

违反国家规定数字货币挖矿案件，侵入前款规定以外的计算机信息系统或者以其他技术手段获取计算机信息系统中存储、处理、传输的数据，或者非法控制计算机信息系统的，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

【提供入侵、非法控制计算机信息系统程序、工具罪】提供专门用于入侵、非法控制计算机信息系统，或者明知他人入侵、非法控制计算机信息系统的程序、工具罪。情节严重，情节严重的，依照前款规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各款的规定处罚。

治理建议

注意安全问题

政府和企业应更加关注区块链技术现有应用的安全问题，增加网络安全在基础设施和成本投入方面，采取更有效、更全面的安全方案有助于预防和解决问题。

加强行业监管

对于新技术在网络和现实社会中的应用，监管部门要及时更新完善监管手段，完善监管手段。此外，监管部门应关注基于公链的数字货币市场，包括对参与者权益的保护，强化公众对区块链概念的认知，强化行业和公众的风险防范意识。 .

促进标准监管

参考和借鉴互联网发展初期遇到的问题和情况，推动区块链技术等创新领域标准的早期建设是非常必要和紧迫的。通过标准建设，从区块链项目的入口和框架，对技术和安全问题的预防和监管起到正确的引导作用，产生乘数效应。

政企协同治理

针对区块链和数字货币黑产问题，应结合政府资源和企业实践开展研究和治理探索，形成经验指导。区块链技术的应用，对应不同层次的不同需求场景，有利于推动技术升级和行业进步。