随着挖取比特币成本的大幅提升，门罗币成为新趋势，引诱来不少唯利是图的黑产团伙。近期，360安全大脑监测发现，一个活跃于2018年的加密货币挖矿组织Tor2Mine已按捺不住，带着野心卷土重来，通过大肆传播挖矿木马程序等手段控制大量设备，组织开展门罗币挖矿活动。

从360安全大脑监测数据来看，Tor2Mine极其擅长伪装，用户浑然不知便沦为挖矿“黑劳工”，俄罗斯、土耳其、西班牙、埃及等多国已遭殃。不过，广大用户不必太过担心，在360安全大脑的极智赋能下，360安全卫士已可强力拦截查杀Tor2Mine组织挖矿木马，保护广大用户网络安全。

下载站成“藏毒站”，点开运行有“惊喜”

据360安全大脑监测显示，此次Tor2Mine便从“人心”入手，将包含木马病毒的母体程序潜藏于某些下载站，利用已有的用户信任， 骗取下载运行，这相当于毫无戒备之下亲自开启“被盗”模式。

（从某些下载站下载运行的木马母体程序）

“开工”后，Tor2Mine的野心凸显，挖矿木马迅速通过创建计划任务的方式常驻并占用用户电脑，但这并不是故事的“结局”，其还会进行横向渗透传播，真可谓是欲壑难填。

（木马母体程序运行后，通过计划任务等方式常驻被感染机器）

经360安全大脑深入分析，发现其入侵后进行“敛财”的手段主要分为以下几步：

第一步：绕过杀软，清理“拦路虎”

入侵用户电脑后，该挖矿木马会运行一段powershell代码作为XMRigCC挖矿程序加载器，这一操作首先能判断当前进程权限是否属于管理员组，并根据权限的不同，进一步判断是否采取关闭杀软以及创建挖矿相关服务。

（Tor2Mine权限判断与首选项）

如果拥有管理员组权限，木马加载器将挖矿程序的执行路径添加为Windows Defender计划扫描和实时扫描的排除文件路径，并关闭Windows Defender，sophos，Hitman杀软进程。

（Tor2Mine对抗杀软）

当然，这波操作还会设置PowerShell首选项以忽略警告和错误继续静先河系统默执行，使其“行动轨迹”更为隐蔽，才能放肆“大干一场”。

第二步：创建计划任务和服务，备齐“挖矿工具”

木马加载器会先尝试清理原本可能存在的旧服务以及挖矿程序，随后下载替换原本的java.exe/javaw.exe作为挖矿主体，该程序作为XMRigCC的变体，与门罗币（XMR）采矿池“eu.minerpool.pw：443”进行通信。

接着，木马加载器还会创建多个计划任务及服务，皆用于运行挖矿程序java.exe/javaw.exe，并通过tor2web服务与暗网服务器通信，就这样，用户悄无声息沦为挖矿肉鸡。

（Tor2Mine创建的计划任务与服务名）

（图门罗币矿池地址以及登录名等信息）

第三步：反监控与横向渗透，可放肆“敛财”

注册完用于挖矿的计划任务后，该挖矿木马将从服务器下载del.ps1尝试关闭taskmgr", "perfmon", "SystemExplorer", "taskman", "ProcessHacker", "procexp64", "procexp", "Procmon", "Daphne"等监控软件的进程；下载ichigo-lite.ps1用于通过github开源项目调用Invoke-PowerDump（获取管理员权限），Invoke-WMIExec，Invoke-TheHash（WMI横向移动），从而达到横向渗透再次加载运行自己的目的。

（Tor2Mine利用开源项目横向渗透）

值得一提的是，在Tor2Mine的已屏蔽代码中，还可以发现利用密码抓取神器Mimikatz获取用户凭证，以用于横向渗透的代码，这就相当于利用“熟人”身份坑“熟人”，防不胜防。

360安全大脑的监测数据也显示，自3月13日后，Tor2Mine挖矿程序增长明显增速，表明Tor2Mine挖矿程序通过横向渗透的方式实现了病毒式传播，控制了大量设备。

（Tor2Mine利用Mimikatz横向渗透）

（Tor2Mine挖矿程序增长趋势图）

挖矿木马无感式作案“一举多得”，360安全大脑全天候严防死守

消费升级时代，顶配电脑越发受到用户追捧，与此同时，这也成为黑客攻击目标，尤其是这些擅长无感式潜伏的挖矿木马程序，其杀伤力不容小觑，一旦“落入敌手”，电脑沦为挖矿“黑劳工”的同时，也会增加硬件损耗。因此广大用户更要提高对此类挖矿木马的防范意识，保护自身网络安全。

最后，针对占用电脑资源的挖矿木马，360安全大脑给出以下几点安全建议：

1、 前往weishi.360.cn360官网_360安全卫士_360官方下载_360正版-360杀毒软件下载，下载安装360安全卫士，对此类挖矿木马威胁进行有效拦截；

2、 开启360安全卫士“网页安全防护”功能，辨别各类虚假诈骗网页，拦截钓鱼网站、危险链接。

3、 若发现系统资源消耗异常增高，要考虑挖矿木马运行的可能，及时使用360安全卫士进行体检扫描，查杀病毒木马；

4、 设置相关服务器/工作站访问权限，避免木马的横向传播；

5、 提高安全意识，建议软件从正规渠道下载，如官方网站或360软件管家等。

IOC信息：

MD5：

222a9bdabc947877026a31ed8333ed0b

fdcad5ceac5368016dfb69718874bddb

URLS：

hxxp://107.181.187.132/v1/check1.ps1

hxxp://107.181.187.132/v1/upd2.ps1

hxxps://v1.fym5gserobhh.pw/check.hta

hxxp://eu1.minerpool.pw/upd.hta

hxxp://eu1.minerpool.pw/eter.hta

hxxp://eu1.minerpool.pw/check.hta

hxxp://107.181.187.132/ps1/del.ps1

hxxp://107.181.187.132/ps1/cleaner.ps1

hxxp://res1.myrms.pw/upd.hta

hxxps://qm7gmtaagejolddt.onion.pet/check.hta

hxxps://eu1.ax33y1mph.pw/check.hta

hxxps://107.181.187.132/test/64.exe

hxxps://107.181.187.132/deps/rng.exe

hxxp://107.181.187.132/ps1/scanner.ps1

hxxps://185.10.68.147/win/3p/ichigo-lite.ps1

hxxp://185.10.68.147/win/sasd.bat

hxxp://185.10.68.147/win/val/ichigo.bin

hxxp://185.10.68.147/win/del.ps1

hxxps://185.10.68.147/win/min/64.exe

hxxp://185.10.68.147/win/update.hta

hxxps://185.10.68.147/win/deps/rx.exe

hxxps://asq.r77vh0.pw/win/checking.ps1

hxxps://asq.r77vh0.pw/win/hssl/r7.hta

hxxp://asq.r77vh0.pw/win/checking.hta

hxxps://asq.d6shiiwz.pw/win/ins/checking.ps1

hxxp://185.10.68.147/win/3p/watcher_np.ps1

hxxp://185.10.68.147/win/checking.hta

hxxp://185.10.68.147/win/php/func.php

hxxp://185.10.68.147/win/checking.ps1

hxxp://185.10.68.147/win/3p/checking.ps1

hxxp://107.181.187.132/win/win10.ps1

hxxp://107.181.187.132/check.hta

hxxp://asq.r77vh0.pw/win/php/func.php

hxxp://185.10.68.147/win/php/watcher.php

hxxp://107.181.187.132/ps1/ichigo_lite.ps1

hxxp://qlqd5zqefmkcr34a.onion.pet/win/checking.hta

hxxp://185.10.68.147/win/3p/mimi/kallen.ps1

hxxps://asq.d6shiiwz.pw/win/hssl/d6.hta

hxxp://fh.fhcwk4q.xyz/win/checking.hta

hxxps://fh.fhcwk4q.xyz/win/checking.hta

hxxp://185.10.68.147/win/sc.ps1

hxxps://qlqd5zqefmkcr34a.onion.pet/win/checking.hta

hxxp://v1.fym5gserobhh.pw/v1/check1.ps1

hxxp://v1.fym5gserobhh.pw/php/func.php

hxxp://107.181.187.132/php/func.php

hxxp://107.181.187.132/v1/bat/zazd.bat

hxxp://107.181.187.132/v1/bat/localcheck.bat

hxxp://107.181.187.132/nopwsh/v1.exe

hxxps://eu1.minerpool.pw/checks.hta

hxxp://107.181.187.132/v1/clocal.ps1

hxxp://107.181.187.132/val/ichigo.bin

hxxp://107.181.187.132/val/ichigo2.bin

hxxps://gitlab.com/jonas112233/test/raw/master/64.exe

hxxps://gitlab.com/jonas112233/test/raw/master/32.exe