MS016小組(原創)
前言:
隨着比特幣的成功,越來越多的山寨幣開始模仿.
因為有些人,在比特幣剛開始的時候,感覺不靠譜 錯失了掙錢的良機.
所以現在很多人后悔了 , 就開始寄托於別的幣 , 所以有些人投入機器挖礦.
而黑客呢 掌握技術 也等同於掌握機器!也不是所有機器都能挖礦的 ,
當然以黑客的視角去思考問題,一般的黑客都是通過.
這里有張流程圖 ,根據爆出來的已知漏洞 而且危害很高的 比如ST – 045
等等 , 而且像蘋果系統mac os 也能挖礦 linux挖礦比window挖礦更加穩定,
我講的是門羅幣, 還有檢測的話方法也是檢查Windows系統.
說完系統當然是講挖礦的配置,
一般黑客入侵完服務器后植入的挖礦木馬,都是以靜默包的 形式 運行.
什么是靜默包 百度的
靜默安裝指是在后台運行 自動安裝,安裝時無需任何用戶干預,直接按默認設置安裝。
靜默安裝的過程是看不到的(隱藏安裝,看不見的)。運行了就在后台安裝,隱藏了非可視化。
靜默包一般是在軟件捆綁以及預裝推薦等類型上,這樣可以實現很多用戶勾選選擇推薦安裝的軟件后,可以自動化的安裝。
也許有些挖礦木馬, 有這一項功能 就是檢測顯卡 CPU挖礦.
如果顯卡滿足條件就挖顯卡, 如果沒顯卡就利用CPU挖礦.
但是現在很多服務器都是不會有顯卡的 ,基本黑客拿完服務器利用CPU挖礦.
顯卡賣的很貴現在 服務器上出現基本是很少 ,顯卡類型有N卡 和A卡 .
所以二種顯卡也需要區分去使用,說完了黑客基本攻擊流程 所以開始講怎么檢測了.
如果你是運維人員, 發現自己服務器非常卡 ,運行緩慢八成被植入了挖礦木馬 .
1.第一時間分析系統是不是存在什么漏洞,而且你不需要當心被零日漏洞攻擊 ! 大多數都是已知漏洞 或者爆破工具,拿下的服務器 ,所以可以去查詢最近相關爆出的危害教大的漏洞 ,而且和自己服務器使用的一些組件 有關的。
2.第二就是查找挖礦木馬 ,找挖礦木馬錢包地址.
可以講一下案例 ,為了獲取樣本分析 使用了tomcat 和 java rmi 漏洞 掃描全球網絡。
發現了很多被入侵的機器當然也獲取了樣本分析.
這是在被黑服務器提取的挖礦木馬 用哈勃 動態分析 一下 運行會有那些行為特征
創建文件csrss.exe 文件 ,csrss.exe 文件是Windows系統核心進程 ,也是被木馬經常利用的進程
而且木馬有守護進程 結束的話系統會關機 或者挖礦木馬自動恢復挖礦.
執行CmdShell命令 運行 挖礦程序,這段cmd命令就是調用挖礦程序csrss.exe文件 開始挖的.
Csrss.exe 文件就是門羅幣挖礦程序 只是這個文件名定義成了 Csrss.
黑客錢包地址
46xzbEFicggME8PBfwPnwuHbtk2UQY6xmMjAs3MHvLEmSyTnBv3BQTdYZ5Nfw5qLGbZmvTH4rZMXZF6rYNjgfAABSm9FaYT
礦池地址 minexmr.com
在這個礦池查看 算力 和支付紀錄 驚人!
3.分析完 挖礦木馬當然是 如果種了 挖礦木馬怎么查殺,
剛才使用哈勃分析了木馬 的行為特征,
然后使用殺毒軟件查殺 ,看看是否殺毒軟件把挖礦木馬特征碼加入了病毒庫.
使用火絨查殺挖礦木馬 並且免殺
然后利用在線檢測 只有三種殺毒軟件檢測到了木馬
打開運行挖礦木馬 有殺毒軟件也不一定能有效攔截,
而且隨着研究 還有一些黑客 使用了不同的挖礦方法.
附上挖礦木馬分析地址
哈勃 https://habo.qq.com/file/showdetail?pk=ADMGZ11oB2YIMFs7#file virscan http://r.virscan.org/report/5497aaf5d4e3e0246f2e00f8e0495a97
感謝刀仔的技術支持