挖矿木马有哪些传播方法

挖矿木马的方法有：

• 利用漏洞传播

  为了追求高效率，攻击者一般会通过自动化脚本扫描互联网上的所有机器，寻找漏洞，然后部署挖矿进程。因此，大部分的挖矿都是由于受害者主机上存在常见漏洞，如Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、Web漏洞等，利用系统漏洞可快速获取相关服务器权限，植入挖矿木马。

• 通过弱密码暴力破解传播

  挖矿木马会通过弱密码暴力破解进行传播，但这种方法攻击时间较长。

• 通过僵尸网络传播

  利用僵尸网络也是挖矿木马重要的传播方法，如利用Mykings、WannaMine、Glupteba等控制大量主机。攻击者通过任务计划、数据库存储过程、WMI等技术进行持久化攻击，很难被清除，还可随时从服务器下载最新版本的挖矿木马，控制主机挖矿。

• 采用无文件攻击方法传播

  通过在PowerShell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方法没有文件落地，会直接在PowerShell.exe进程中运行，这种注入“白进程”执行的方法更加难以实施检测和清除恶意代码。

• 利用网页挂马传播

  在网页内嵌入挖矿JavaScript 脚本，用户一旦进入此类网页，脚本就会自动执行，自动下载挖矿木马。

• 利用软件供应链攻击传播

  软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查，达到非法目的的攻击。例如，2018年12月出现的DTLMiner是利用现有软件升级功能进行木马分发，属于供应链攻击传播。攻击者在后台的配置文件中插入木马下载链接，导致在软件升级时下载木马文件。

• 利用社交软件、邮件传播

  攻击者将木马程序伪装成正规软件、热门文件等，通过社交软件或邮件发送给受害者，受害者一旦打开相关软件或文件就会激活木马。

• 内部人员私自安装和运行挖矿程序

  机构、企业内部人员带来的安全风险往往不可忽视，需要防范内部人员私自利用内部网络和机器进行挖矿获取利益。