前言
挖矿木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户不知情的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。
以下情况是用户中木马的高频事件:
1.用户往往在不注意的时候,下载并运行了来历不明的破解软件或不安全软件;
2.用户点击运行了钓鱼邮件中的附件的文件;
3.用户没有做好系统及时更新,通过系统漏洞传播;
4.用户浏览了植入挖矿脚本的网页,浏览器就解析脚本进行挖矿。
现在的挖矿木马存在种类非常多常见的如:普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker 模式的挖矿程序。
自查挖矿木马
1.cpu 的使用率,中了挖矿木马,因为会在系统中运行挖矿程序,使得计算机在正常运行下会变得非常卡顿,并且 CPU 的使用率会变得非常高,甚至会达到 100%。
2.通过杀毒软件进行全盘查杀,如果计算机中有存在挖矿木马的样本程序,杀毒软件一般情况下是可以查杀。
3.通过抓包工具(Wireshark)进行查看分析流量,从流量中去分析排查可疑的流量数据包。
样本基本信息
通过 hash 工具获取都挖矿木马样本的 MD5、SHA1、CRC32 数据。
该挖矿样本是控制台窗口的应用程序,通过 ExeInfo PE 工具中的区段信息,可以看出该样本采用了 UPX 压缩壳进行对样本保护,并且该样本程序是 64 位的应用程序。
通过火绒病毒查杀软件,进行扫描查杀该样本程序,可以从下图看到,该样本是属于 Coinminer 团伙研发的挖矿病毒样本程序。
木马功能分析
分析样本需要工具:虚拟机 VMware、IDA、X64dbg、pchunter、WireShark 等工具。脱 UPX 压缩壳方法:单步调试法、内存访问断点法、堆栈平衡法。
通过单步调试法进行脱 UPX 壳,样本加载进 x64dbg 工具后,就单步 F8 方式,一直单步运行,通过观察程序的相对地址,直到跳转到原程序的 OEP 位置。那么再将内存数据 dump 下来就可以了。
样本的主要功能:通过循环遍历创建控制台文件,写入数据到文件,启动控制台文件。通过利用系统函数 CreateFileW 进行创建文件名称设置为 7 个字母的随机名称的文件,并通过 WriteFile 函数,将原始样本内数据拷贝到新创建的进程文件中,最后通过调用系统函数 CreateProcessW 函数进行启动样本。
下图是 x64dbg 调试工具中执行 CreateFileW 进行创建文件。
拼接生成的随机文件名称。
已在指定的目录下成功的生成了应用程序。
通过调用 WriteFile 将数据写入到新创建的文件
最后在通过调用 CreateProcessW 进行启动创建的应用程序。
执行完以上功能后,最终的效果如下图所示。
通过拼接 json 格式,并以 http 协议方式进行发送数据。
从上面的 json 格式中可以很清晰看到 访问请求的 ip 地址很端口号:3.120.98.217:8080。接下来反查这个 ip 地址信息,可以看到这个 ip 地址指向的是德国的。
在通过 360 威胁情报中心https://ti.360.cn/#/homepage进行更详细查询这个 ip 地址相关的信息。从下图可以看到这个 ip 地址是属于 Coinminer 家族的 挖矿样本,并且查询到的相关联的样本也并不少。
该木马的清理
通过将 C:\Windows\system\目录下,所有随机名称的应用程序文件进行删除。就可以清除掉这个挖矿样本所遗留的应用程序。
预防防护中挖矿样本
1.在计算机中安装病毒查杀软件(火绒、360 杀毒),并及时更新病毒查杀软件的病毒库,还需做好定时全盘查杀病毒。
2.及时做好计算机系统补丁的更新。
3.服务器、主机、数据库等使用高强度的密码口令,切勿使用弱口令,防止被暴力破解。
4.网络上不要去随意下载、运行来历不明的程序或者破解程序,不随意点击来历不明的链接。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
)
核心功能特性汇总)
)
