挖礦木馬簡介
隨着區塊鏈的火爆,各種虛擬貨幣的行情一路走高,不乏有人像炒房炒股一樣,通過包括大名鼎鼎的比特幣在內的各種虛擬貨幣發家致富,讓人眼饞。在這種情況下,黑客怎么會放過這么賺錢的機會呢。大家都知道,獲取虛擬貨幣除了買賣還有就挖礦,挖礦其實是通過計算機做一些復雜的運算去算出還沒有歸屬的虛擬貨幣節點,並通告這樣就歸屬了自己。但是這種挖礦行為需要極高的計算能力和計算資源,黑客們紛紛編寫挖礦木馬,通過感染別人的機器,消耗其性能來為自己挖礦獲利。
礦馬的傳播方式
電子郵件附件感染方式
類似一般cc類木馬的投遞方式,不在做詳細贅述,雖然一般服務器的性能都高於個人主機,但是挖礦多采用GPU顯卡挖礦,服務器一般卻不安裝顯卡,導致個人主機也是重要的感人目標。
頁面感染方式
首先需要攻擊一些大流量站點的CDN或者服務器,對其大訪問量頁面中嵌入挖礦代碼,只要你訪問這個頁面,那么你的瀏覽器就會執行富文本的挖礦腳本,
利用漏洞感染的方式
已經發現了很多利用可以控制機器的漏洞來感染挖礦木馬的行為,比如redis未授權訪問拿shell和ms17-010來傳播挖礦木馬的。
引誘下載或借用人工傳播運行類
類似於王者榮耀作弊器等等再QQ群中傳播或掛在網上行下載,其本質是個礦馬等等。
礦馬的運行
最大的運行特點是資源消耗,感覺CPU很高、占用內存很高,個人主機會感覺卡頓,服務器會影響服務質量,監控數據指標等等。同時一些漏洞的利用過程也會產生告警,還有礦池地址等等IOC數據的訪問也可以幫助判斷。
總結如下,發現礦馬的檢測手法:
- CPU、GPU、內存告警
- 相關漏洞利用告警
- HIDS礦馬告警
- IOC告警
礦馬樣本的提取
- 結合IOC或者netstat看起來不對的連接判斷進程:netstat -abo | findstr "xxxxx" 或者 netstat -abo | grep "xxxxxxx"
- 使用終端安全軟件或者殺毒告警日志來提取
- 使用日志分析進程啟動發現的異常進程,獲取路徑
礦馬的網絡流量特點
如果不熟悉的jsonrpc的人,請先了解下jsonrpc:json-rpc是基於json的跨語言遠程調用協議,在礦馬中常見,轉16進制后是:6a736f6e727063,在礦馬的網絡通信流量里面一般都會出現這個payload串。
礦馬的查殺和事后修復
使用一般的殺毒軟件即可,沒有很難查殺,但是其傳染途徑是值得注意的,如果是認為因素,則需要進行安全教育,如果存在各種漏洞,需要及時修復漏洞才能避免繼續中招。
補充說明
需要二進制分析的人員,對樣本作分析,這是提取樣本后確認樣本分類、行為、危害的最佳依據和實踐。