挖矿专项排查实战经验分享

事件背景 近期，根据上级的要求，我们对当地的互联网咖啡厅、酒店等地进行了专项挖矿排查工作。在这一过程中，我们发现了一起典型的涉及到Ravencoin(渡鸦币)的挖矿行为。

Ravencoin（RVN）简介 Ravencoin，中文名为渡鸦币，

是一种实验性的数字货币，能够即时支付给世界任何地方的任何人。Raven依赖于点对点技术，在没有中央管理机构的情况下运营：管理交易和发放资金由网络共同执行。Ravencoin是一种数字的点对点对网络，旨在使用特定的区块链，以便有效处理一项特定功能：将资产从一方转移到另一方。

网吧挖矿行为排查 我们接到了该网吧的事件排查通知，通报清单显示，该网吧的互联网出口IP与矿池交互数据量巨大。经过与网吧老板的沟通和初步排查，我们确认网吧所有客户机均存在与恶意矿池地址连接行为。

分析挖矿程序 我们接下来对恶意程序进行了深入分析。

通过追踪进程ID，我们锁定了恶意程序进程“cssrs.exe”，该程序位于“C:/Windows/Fonts/cssrs.exe”。程序执行命令与网上渡鸦币挖矿程序命令一致。我们将挖矿样本提交到了虚拟环境中进行分析，结果显示该程序是矿工程序。

通过流量分析，我们发现主机一直在与矿池地址进行连接通信，从电脑启动就开始挖矿。我们尝试排查当前电脑的启动项、计划任务、注册表、服务等，但均未发现异常，这让我们一度感到困扰。

最终发现问题 然后我们突然想到，由于网吧电脑都是无盘启动的，上一层还有网吧的某圈计费系统。我们联系到网吧的系统维护商进行协助，发现在某圈计费系统的启动功能中，存在一个名为“浏览器.bat”的启动项。经过检查，我们发现这是恶意程序下载并执行挖矿的脚本。

事件总结 通过这次事件排查，我们发现某圈管理系统中存在恶意程序，导致网吧机器在启动时就执行挖矿程序。目前我们已经联系到维护商的相关负责人，进行了此事件的反馈。我们建议所有使用类似系统的网吧都进行一次系统检查，以防止类似事件的发生。