文章总结： 该文档深度剖析了一种集BYOVD提权、蠕虫化传播与AI辅助攻击于一体的XMRig挖矿木马变种。其核心采用模块化设计，通过命令行参数切换不同功能角色，并利用自带漏洞驱动WinRing0x64.sys实现内核级提权，从而修改CPU寄存器以提升50%挖矿算力。木马内置逻辑炸弹，设定于2025年12月23日后自毁，并具备通过移动介质在内网及物理隔离环境蠕虫传播的能力。报告还指出攻击者利用AI大语言模型生成漏洞利用代码，降低了攻击门槛。建议用户警惕破解软件、检查异常驱动文件及监控CPU占用率以防范此类威胁。 综合评分： 85 文章分类： 恶意软件,威胁情报,应急响应,渗透测试,AI安全

深度拆解：BYOVD 提权 + 蠕虫化传播，这届挖矿木马卷得离谱

原创

Kit Chung Kit Chung

安全圈动向

2026年2月25日 07:33 广东

各位敲代码、修 Bug、熬夜发版的技术同僚们，大家好。

最近我复盘了一份来自 Trellix 的安全报告，说实话，看完后我背后有点发凉。这届黑客为了让你那台服务器（或者性能不错的开发机）帮忙挖门罗币（XMR），简直是把“产品思维”和“底层驱动开发”玩到了天花板。以前的挖矿木马顶多算个“小偷”，现在的简直就是“带了精密仪器的顶级特工”。

今天我就从 IT 工程师的角度，带大家深挖一下这个集 BYOVD 提权、蠕虫化传播、AI 辅助攻击于一体的 XMRig 变种。内容有点硬核，建议先收藏再看。

一、 “模块化”设计：它不只是木马，还是个精密的载荷管理器

作为有几年经验的开发者，我们写代码讲究解耦。这个木马的作者显然深谙此道。它的核心 Binary（二进制文件）就像是一个“中央神经系统”，通过不同的命令行参数切换完全不同的角色：

• 无参数：

  进行环境自检，看看是不是在虚拟机里，然后开始“搬家”（迁移到系统目录）。

• 002 Re:0：

  释放主载荷，启动 XMRig 矿机，并进入“看门狗”循环。

• 016：

  矿机进程如果被杀了？没关系，这个参数负责原地复活。

• barusu：

  这是最骚的——自毁程序。一旦触发，直接终止所有恶意组件并格式化相关文件，不留痕迹。

点评： 这种设计意味着它具有极强的隐蔽性和灵活性。如果防御系统只盯着进程名看，很快就会被它这种多角色的“变脸”玩死。

二、 核心杀手锏：BYOVD 提权，算力原地起飞 50%

这是整篇文章最“炫技”的部分。大家知道，挖矿（尤其是 RandomX 算法）极其依赖 CPU 的 L3 缓存和特定的寄存器配置。如果只是普通权限运行，算力其实一般。

黑客采用了 BYOVD (Bring Your Own Vulnerable Driver) 技术：

1. 自带“漏洞驱动”：

   它在安装包里塞进了一个合法的、但有已知漏洞的驱动程序 WinRing0x64.sys（对应 CVE-2020-14979）。

2. 内核级提权：

   既然驱动是合法的（有数字签名），Windows 往往会放行。木马通过利用这个驱动的漏洞，直接拿到内核级（Ring 0）权限。

3. 压榨算力：

   拿到了内核权限，黑客就可以直接修改 CPU 的 MSR 寄存器，禁用一些降低性能的节能策略或安全校验。

结果是什么？ 该木马能让 XMRig 的算力（Hashrate）直接提升 15% 到 50%。你以为黑客是在搞破坏？不，他们是在帮你的硬件“超频”，只是收益全进了他们的钱包。

三、 定时炸弹：2025年12月23日，准时“删库跑路”？

代码里埋了一个非常精准的逻辑炸弹（Logic Bomb）。它会调用系统时间进行对比：

• 在 2025 年 12 月 23 日之前：

  全力挖矿，安装各种持久化模块，死缠烂打。

• 在 2025 年 12 月 23 日之后：

  自动调用上文提到的 barusu 参数，进入“受控退役”模式。

为什么要定在这一天？ 现在的安全专家推测，这可能是黑客租用的 C2 控制服务器到期了，或者是他们预判到时候门罗币会有一波大行情，直接收割离场。这种带有“有效期”的攻击，让事后取证变得极其困难。

四、 蠕虫化传播：内网、U 盘、物理隔离统统拿下

普通的木马需要你“手抖”点开链接，但这个变种具备强悍的蠕虫属性。它不只是等鱼上钩，它会主动通过移动媒介（U 盘、移动硬盘）进行横向移动。

即使是那些号称物理隔离（Air-gapped）的环境，只要有运维人员插了一下“带毒”的 U 盘，木马就会迅速在隔离网内蔓延。这种 aggressive（侵略性）的传播方式，让它从一个简单的 Trojan 变成了一个名副其实的内网杀手。

五、 AI 的阴影：当 LLM 开始帮黑客写 Exploit

报告中还提到了一个让我非常不安的趋势：Darktrace 发现了一些疑似由 AI 大语言模型（LLM） 生成的代码片段。黑客利用 AI 生成了针对 React2Shell 漏洞（CVE-2025-55182）的利用框架。

这说明了两个问题：

1. 网络犯罪门槛降低：

   只要会写 Prompt，脚本小子也能搞出复杂的 Exploit。

2. 分工高度模块化：

   专家负责用 AI 建模，底层人员负责大规模扫描（如报告中提到的 ILOVEPOOP 工具包）。

防坑指南

作为老司机，我还是得啰嗦几句，别觉得这些事儿离我们很远：

• 拒绝破解版办公软件：

  你以为白嫖了 Office 365，其实你的 CPU 正在给黑客打白工。

• 警惕 WinRing0x64.sys 等驱动文件：

  如果在非必要目录下看到这种驱动文件，大概率是被 BYOVD 了，赶紧拉黑。

• 定期检查 CPU 占用率：

  如果发现系统闲置时 CPU 风扇狂转，且 Windows Telemetry 这种进程占用异常，大概率是被“借”去挖矿了。

想知道如何写一段脚本自查服务器是否被植入了这种 BYOVD 驱动吗？或者想聊聊这种“逻辑炸弹”的对抗策略？

欢迎在评论区留言交流！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《深度拆解：BYOVD 提权 + 蠕虫化传播，这届挖矿木马卷得离谱》