写点什么

什么是挖矿木马?我猜你还不知道

发布于: 刚刚

#前言由于区块链技术热炒以及数字货币魔性推广运营,如比特币、以太币、门罗币、达世币等层出不穷的数字货币各种热炒,在这些的利益驱使下便出现各种模式的挖矿木马程序。


挖矿木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户不知情的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。


以下情况是用户中木马的高频事件:


1.用户往往在不注意的时候,下载并运行了来历不明的破解软件或不安全软件;


2.用户点击运行了钓鱼邮件中的附件的文件;


3.用户没有做好系统及时更新,通过系统漏洞传播;


4.用户浏览了植入挖矿脚本的网页,浏览器就解析脚本进行挖矿。


现在的挖矿木马存在种类非常多常见的如:普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker 模式的挖矿程序。

自查挖矿木马

1.cpu 的使用率,中了挖矿木马,因为会在系统中运行挖矿程序,使得计算机在正常运行下会变得非常卡顿,并且 CPU 的使用率会变得非常高,甚至会达到 100%。


2.通过杀毒软件进行全盘查杀,如果计算机中有存在挖矿木马的样本程序,杀毒软件一般情况下是可以查杀。


3.通过抓包工具(Wireshark)进行查看分析流量,从流量中去分析排查可疑的流量数据包。


为了感谢广大读者伙伴的支持,准备了以下福利给到大家:【一>所有资源获取<一】1、200 多本网络安全系列电子书(该有的都有了)2、全套工具包(最全中文版,想用哪个用哪个)3、100 份 src 源码技术文档(项目学习不停,实践得真知)4、网络安全基础入门、Linux、web 安全、攻防方面的视频(2021 最新版)5、网络安全学习路线(告别不入流的学习)6、ctf 夺旗赛解析(题目解析实战操作)

样本基本信息

通过 hash 工具获取都挖矿木马样本的 MD5、SHA1、CRC32 数据。



该挖矿样本是控制台窗口的应用程序,通过 ExeInfo PE 工具中的区段信息,可以看出该样本采用了 UPX 压缩壳进行对样本保护,并且该样本程序是 64 位的应用程序。



通过火绒病毒查杀软件,进行扫描查杀该样本程序,可以从下图看到,该样本是属于 Coinminer 团伙研发的挖矿病毒样本程序。


木马功能分析

分析样本需要工具:虚拟机 VMware、IDA、X64dbg、pchunter、WireShark 等工具。脱 UPX 压缩壳方法:单步调试法、内存访问断点法、堆栈平衡法。


通过单步调试法进行脱 UPX 壳,样本加载进 x64dbg 工具后,就单步 F8 方式,一直单步运行,通过观察程序的相对地址,直到跳转到原程序的 OEP 位置。那么再将内存数据 dump 下来就可以了。



样本的主要功能:通过循环遍历创建控制台文件,写入数据到文件,启动控制台文件。通过利用系统函数 CreateFileW 进行创建文件名称设置为 7 个字母的随机名称的文件,并通过 WriteFile 函数,将原始样本内数据拷贝到新创建的进程文件中,最后通过调用系统函数 CreateProcessW 函数进行启动样本。



下图是 x64dbg 调试工具中执行 CreateFileW 进行创建文件。



拼接生成的随机文件名称。



已在指定的目录下成功的生成了应用程序。



通过调用 WriteFile 将数据写入到新创建的文件



最后在通过调用 CreateProcessW 进行启动创建的应用程序。



执行完以上功能后,最终的效果如下图所示。



通过拼接 json 格式,并以 http 协议方式进行发送数据。



从上面的 json 格式中可以很清晰看到 访问请求的 ip 地址很端口号:3.120.98.217:8080。接下来反查这个 ip 地址信息,可以看到这个 ip 地址指向的是德国的。



在通过 360 威胁情报中心https://ti.360.cn/#/homepage进行更详细查询这个 ip 地址相关的信息。从下图可以看到这个 ip 地址是属于 Coinminer 家族的 挖矿样本,并且查询到的相关联的样本也并不少。



该木马的清理

通过将 C:\Windows\system\目录下,所有随机名称的应用程序文件进行删除。就可以清除掉这个挖矿样本所遗留的应用程序。


预防防护中挖矿样本

1.在计算机中安装病毒查杀软件(火绒、360 杀毒),并及时更新病毒查杀软件的病毒库,还需做好定时全盘查杀病毒。


2.及时做好计算机系统补丁的更新。


3.服务器、主机、数据库等使用高强度的密码口令,切勿使用弱口令,防止被暴力破解。


4.网络上不要去随意下载、运行来历不明的程序或者破解程序,不随意点击来历不明的链接。

用户头像

我是一名网络安全渗透师 2021.06.18 加入

关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08

评论

发布
暂无评论
什么是挖矿木马?我猜你还不知道