安基網 首頁 安全 攻防案例 查看內容

雪缘园彩票首页:挖礦處置手冊:安全研究員的套路都在這兒了

英超雪缘园 www.trual.com.cn 2020-2-12 14:22| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 搜索公眾號:暗網黑客可領全套安全課程、配套攻防靶場一分鐘了解什么是挖礦木馬什么是挖礦木馬?攻擊者通過各種手段將挖礦程序植入受害者的計算機中,在受害者不知情的情況下利用其計算機的云算力進行挖礦,從而獲取利益,這類非法植入用戶計算機的挖礦程序就是挖礦木馬。挖礦木馬,挖的是啥?由于比特 ...

一分鐘了解什么是挖礦木馬


什么是挖礦木馬?


攻擊者通過各種手段將挖礦程序植入受害者的計算機中,在受害者不知情的情況下利用其計算機的云算力進行挖礦,從而獲取利益,這類非法植入用戶計算機的挖礦程序就是挖礦木馬。


挖礦木馬,挖的是啥?


由于比特幣的成功,許多基于區塊鏈技術的數字貨幣紛紛問世,如以太幣、達世幣等;從深信服安全團隊接到的挖礦木馬案例來看,門羅幣是最受挖礦木馬青睞的數字貨幣,主要有如下幾個原因:


1. 門羅幣交易價格可觀;

2. 門羅幣是一種匿名幣,安全性更高;

3. 門羅幣的算法通過計算機CPU和GPU即可進行運算,不需要其他特定的硬件支持;

4. 互聯網上開源的門羅幣挖礦項目很多,方便使用;

5. 暗網支持門羅幣交易。


為什么會中挖礦木馬?


垃圾郵件:用戶運行了釣魚郵件中的附件。

軟件捆綁:用戶下載運行來歷不明的破解軟件

漏洞傳播:用戶沒有及時修補漏洞,目前大部分挖礦木馬都會通過漏洞傳播。

網頁挖礦:用戶訪問了植入挖礦腳本的網頁,瀏覽器會解析腳本進行挖礦。


挖礦木馬自查


發現挖礦


CPU使用率


通常對挖礦木馬的感知,主要表現在主機的使用感上,在主機正常運行的情況下,突然變得卡頓,并且CPU的使用率高于正常使用時的數值或達到了100%:



感知產品


當然,僅從卡頓和CPU使用率來判斷是否中了挖礦木馬是不準確的,從安全產品上能夠更加準確直觀的發現挖礦木馬。


例如,如果使用了防火墻或態勢感知產品,通常能夠準確的告警主機試圖連接挖礦木馬相關的域名,或者準確的給出挖礦木馬家族標簽,下圖以深信服安全感知產品為例:


可以看到關鍵風險中存在“driverlife”標簽,即主機請求了“驅動人生”挖礦木馬的相關域名。如果安全產品上只是報出了黑域名,下圖以深信服防火墻為例:


此時可以通過威脅情報搜索相關的域名信息,下圖為使用微步在線(x.threatbook.cn)查詢惡意域名的示例,可以看到該域名被關聯到“驅動人生”挖礦木馬:


流量抓取


如果是沒有部署流量產品的情況下,需要判斷是否存在挖礦流量就稍微麻煩一些,需要使用工具抓取流量包來進行判斷,推薦的抓包工具有Wireshark、科來網絡分析工具,例如抓到下列數據包,通常該數據的格式就是挖礦木馬的與礦池的通信格式:

使用威脅情報查詢該IP,即可確認中了挖礦木馬:


如果是使用了殺毒軟件,定期進行全盤掃描也能夠發現挖礦木馬,通?;嶸璩鯩iner或永恒之藍漏洞利用工具包的文件,表現為帶有字符“ShadowBrokers”、“EternalBlue”,下圖以深信服EDR的查殺結果為例:


很多用戶可能同時使用了流量產品和終端殺軟進行聯動,會出現流量報了挖礦木馬的威脅,但是終端殺軟卻沒有查殺到病毒,是什么原因呢?

可能是下面兩種情況:


1. 是否使用了全盤查殺,很多情況下安全軟件的快速查殺只查殺特定目錄;


2. 報出流量的設備是否為開啟了DNS服務、代理服務、端口轉發等可能轉發流量的業務,在這種情況下,可能是轉發其他主機的流量產生的告警,需要定位到真正中毒的主機進行查殺。


定位挖礦


普通開源挖礦程序


如果感覺主機突然出現明顯的卡頓,可以打開任務管理器,查看CPU使用率,中了挖礦木馬時,用任務管理器可能會看到存在奇怪的進程,CPU占用率較高,比如下圖中,LogonUI.exe占用的CPU明顯高于其他進程,并且進程描述中有很明確的“XMRig CPU miner”信息:


或者使用ProcessHacker等工具查看進程,可以看到對應程序的圖標,大多數集成開源挖礦程序的木馬,運行后都會帶有如下“Xr”的圖標:



有時候攻擊者為了讓挖礦木馬不被發現,可能會通過服務等方式啟動挖礦程序,這時可以借助內存搜索工具來定位進程,使用工具搜索挖礦域名或相關字符串:


內存搜索工具下載鏈接


64位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z


32位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

判斷挖礦進程的存在需要一定的經驗,不一定占用CPU高、導致卡頓的進程都是挖礦進程,要注意區別是否為系統配置問題導致的卡頓。

通常情況下,挖礦木馬都會有系統駐留???,會通過計劃任務、服務等方式不斷的拉起惡意進程,因此僅結束進程不一定能有效的清除,建議使用專業的安全軟件進行處置。


無文件挖礦


無文件挖礦主要通過注冊表、計劃任務等方式將惡意的powershell、cmd命令駐留在系統中,定時拉起,較為明顯的現象是出現可疑的powershell或cmd進程,參數中帶有惡意的命令:




通常情況下,無文件挖礦僅通過結束進程是無法完全清除的,系統中可能殘留惡意的計劃任務:


或是惡意的WMI,需要全部進行刪除才能徹底清除木馬:



Fonts目錄隱藏挖礦木馬


C:WindowsFonts目錄是Windows系統下用于存放字體文件的目錄,有一些病毒會將自身的程序隱藏在該目錄下

例如Explorer一鍵挖礦,正常使用資源管理器在Fonts目錄下無法查看到木馬文件,需要借助PCHunter工具查看。


使用資源管理器查看Fonts目錄,即使搜索也無法發現異常子目錄:


使用PCHunter查看到的Fonts目錄下木馬文件生成的目錄:


如發現Fonts目錄下出現arial、Logs、temp、ttf目錄,建議立即使用殺毒軟件進行全盤掃描和查殺,或參考附錄explorer一鍵挖礦的處置方法手動清除。


網頁挖礦


網頁挖礦是指攻擊者將挖礦木馬植入正常網站,只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點,瀏覽器會即刻執行挖礦指令。

常見的網頁挖礦木馬有:

Coinhive、JSEcoin、CryptoLoot、DeepMiner、Webmine、AuthedMine、BrowserMine、Coinimp、CryptoWebMiner、Ppoi等。


網頁挖礦的主要特征為,訪問挖礦站點時,CPU使用率會劇增,退出挖礦站點訪問后,CPU使用率瞬間下降:


網頁挖礦腳本的代碼中通?;嵐癿iner”字符串,具有一定的辨識度:



驅動挖礦


驅動挖礦是指挖礦木馬通過注冊驅動的方式駐留在系統中以確保持久性,ProtectionX挖礦木馬就是其中一種,除了自?;ず妥云舳?,還會釋放安裝驅動文件,木馬運行流程如圖:


母體運行后會將自身設置為隱藏屬性,并釋放win1logon.exe、wuauc1t.exe、ProcessExtended.dll,并且釋放一個快捷方式用于帶參數啟動wuauc1t.exe:


同時會在temp目錄下釋放隨機字符命名的驅動文件,并通過注冊成服務hy5.5,對應的注冊表鍵值如下:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceshy5.5

并為母體1sass.exe添加注冊表自啟動:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunRegistered font



Docker挖礦


Docker是指攻擊者將挖礦程序打包到Docker鏡像中,上傳到Docker Hub,當用戶pull下來運行使用時,挖礦進程就偷偷的執行了,下面給出一個Docker挖礦的排查示例。

使用命令查看挖礦進程:

ps –elf | grep xmrig


查看主機上的Docker鏡像:

docker container ls


進入Docker,查看執行的進程:


dockerexec–itf546sh#(f546為后臺容器的NAMES或容器的進程ID)ps–elf


某些挖礦木馬會集成一些比較復雜的僵尸網絡或木馬程序來達到相互下載、持久駐留的目的,如Mykings僵尸網絡、Mirai僵尸網絡、暗云三大家族捆綁傳播,會利用SQL SERVER弱密碼入侵用戶主機,捆綁下載該三種木馬程序。

主機遭到感染時,除了MBR遭到感染、生成惡意WMI、服務、計劃任務外,數據庫中還會殘留惡意的作業和存儲過程,用于定時執行惡意命令,下載組合木馬的其他???。

排查數據庫作業,出現如下執行惡意命令的作業:


排查數據庫存儲過程,會執行ExecCode對象:


通過查詢Transact-SQL中的項,發現執行的對象ExecCode:


再通過對象名稱查詢sys.assembly_files表,找到ExecCode對應的content內容,包含一個十六進制的PE文件:


除了惡意的數據庫作業和存儲過程,主機上可能還有其他殘留的惡意文件和注冊表項、WMI等,都需要進行清理:


Mykings木馬在不同的主機環境上的具體表現可能會不同,需要詳細的排查和處置才能完全清理,詳細排查可參見附錄。


由于目前的殺毒軟件都不會清理數據庫中的內容,如發現主機感染Mykings木馬,應及時聯系專業的安全人員進行排查和處置。


加固與防護


安全軟件


1. 安裝殺毒軟件;


2. 及時更新病毒庫;


3. 定時全盤查殺。


口令管理


1. 主機和數據庫都要避免使用弱口令;


2. 避免多個設備使用相同口令。


漏洞管理


1. 定期對系統進行漏洞掃描,及時修復漏洞,特別是挖礦木馬常用的“永恒之藍”漏洞;


2. Web服務器要及時更新組件,安裝軟件補??;


3. 對于數據庫要及時更新數據庫管理軟件補丁。

安全意識宣傳

破解軟件別濫用,郵件附件要當心

定期殺毒別偷懶,電腦卡頓才麻煩

簡單密碼一時爽,數據恢復火葬場

網絡安全靠大家,?;ば畔⒛鬮宜?/p>

作者:深信服千里目安全實驗室

轉載自:https://www.secpulse.com/archives/118281.html



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6792433409705640459/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

相關閱讀

最新評論

 最新
返回頂部
{ganrao} 辽宁11选5开奖结 青海十一选五走势图带连线 秒速赛车实力大平台 三d走势图带连线专业版 欧美a片电影名 河南十一选五的走势图定牛 5分pk10大小技巧 春假时光 乌鲁木齐按摩会所 日本色情片黄色片 江西11选5开奖数据 大乐透基本走势图 广东风采36选7开 手机打麻将作弊神器 大番号app入口 江苏十一选五遗漏