当前位置:   article > 正文

挖矿木马简介

挖矿木马简介

挖矿木马简介

• 挖矿(Mining),早期与比特币有关,用户使用个人计算机下载软件,然后运行特定的算法,与远方服务器通信后得到相应比特币,挖矿就是利用比特币挖矿赚取比特币

• 由于挖矿成本过于高昂,一些不法分子通过各种手段将矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,从而获取非法收益。这类非法侵入用户计算机的矿机程序被称作挖矿木马

• 挖矿木马进行超频运算时占用大量CPU资源,导致计算机上其他应用无法正常运行。不法分子为了使用更多算力资源,一般会对全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点,在成功入侵一台主机后,尝试对内网其他机器进行蠕虫式的横向渗透,并在被入侵的机器上持久化驻留,长期利用机器挖矿获利。

常见挖矿木马

Mykings(隐匿者)

• MyKings 是一个长期存在的僵尸网络, 自从 2016 年开始便一直处于活跃状态。它在全世界大肆传播和扩张,以至于获得了多个名称 ,例如,MyKings、Smominru和DarkCloud。其庞大的基础设施由多个部件和模块组成,包括bootkit、 coin miners、droppers、clipboard stealers(剪贴板窃取器)等

• Mykings 主要利用“永恒之蓝”漏洞,针对 MsSQL、Telnet、RDP、CCTV等系统组件或设备进行密码暴力破解,暴力破解成功后,利用扫描攻击进行蠕虫式传播。Mykings不仅局限于挖矿获利,还与其他黑产家族合作完成锁首页,DDoS 攻击等

8220Miner

• 8220Miner 被披露于 2018年 8月,因固定使用 8220 端口而被命名。

• 8220Miner 利用多个漏洞进行攻击和部署挖矿程序,是一个长期活跃的组织,也是最早使用 Hadoop Yarn 未授权访问漏洞攻击的挖矿木马,除此之外,还是用了多种其他的Web 服务漏洞。8220 Miner 没有采用蠕虫式的传播,而是使用固定一组 IP 地址进行全网攻击,为了持久化驻留,使用了 rootkit 技术进行自我隐藏。

WannaMine

• WannaMine采用“无文件”攻击组成挖矿僵尸网络,最早在2017年底被发现,攻击时执行远程Powershell代码,全程无文件落地。为了隐藏其恶意行为,WannaMine还会通过WMI类属性存储shellcode, 并使用“永恒之蓝”漏洞攻击武器以及“Mimikatz+WMIExec”攻击组件进行横向渗透。

• 2018年6月,WannaMine 增加了 DDoS 模块,改变了以往的代码风格和攻击手法。2019年4月,WannaMine 舍弃了原有的隐匿策略,启用新的 C2 地址存放恶意代码,采用Powershell 内存注入执行挖矿程序和释放PE木马挖矿的方法进行挖矿,增大了挖矿程序执行的概率。

传播方式

• 利用漏洞传播

• 通过弱口令爆破传播

• 通过僵尸网络传播

• 采用无文件攻击方法传播

• 利用网页挂马传播

• 利用软件供应链攻击传播

• 利用社交软件、邮件传播

• 内部人员私自安装和运行挖矿程序

处置方法

1、隔离被感染的服务器或主机

2、确认挖矿进程

3、清除挖矿木马

• 阻断矿池地址连接

• 清除挖矿定时任务、启动项等

• 定位挖矿木马文件的位置,并清除

清除木马

• 从内网DNS服务器、DNS防火墙、流量审计设备等设备获取恶意域名信息,根据域名查询威胁情报确定木马类型。

• 查看系统CPU、内存、网络占用情况,获取异常进程相关信息

• 根据进程名或部分字符串获取进程号或进程相关的命令行命令

• 根据进程号查看由进程运行的线程

• 结束挖矿进程及其守护进程

• 通过挖矿进程的相关信息,定位到文件的具体位置,删除恶意文件

• 查看启动项,如果发现非法开机自启服务项,停止并删除对应数据

• 查看定时任务

• 溯源挖矿木马入侵途径,查找系统漏洞,打上对应补丁,完成漏洞修复,防止再次入侵

【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回复“资料领取”获取——】
1.网络安全多个方向学习路线
2.全网最全的CTF入门学习资料
3.一线大佬实战经验分享笔记
4.网安大厂面试题合集
5.红蓝对抗实战技术秘籍
6.网络安全基础入门、Linux、web安全、渗透测试方面视频

防护建议

• 规范上网行为,不安装来历不明的软件、工具

• 不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件

• 进行严格的隔离,有关系统、服务尽量不要开放到互联网,在内网中的系统也要通过防火墙、VLAN或网闸等进行隔离。对于系统要采取最小化服务的原则,只提供必要的服务无关的服务必须要关闭,同时采用本机防火墙进行访问要进行访问控制

• 及时安装系统补丁,修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞

• 加强密码策略,增加密码复杂度并进行定期修改,开启相关登录失败处理功能

• 服务器定期维护

常用工具

• ProcessExplorer:能管理隐藏的程序,可监视、挂起、重启、终止程序

• PCHunter:功能强大的系统信息查看软件,PCHunter使用了windows 内核技术


模拟攻击(kali—>kali)

1、在攻击机上准备好挖矿木马

使用unzip解压

  解压

解压成功

再次解压

木马准备成功

2、上传木马

假如通过爆破得到对方主机的SSH密码,通过SSH上传挖矿木马 kinsinga.sh

sftp root@靶机ip

连接成功后,上传木马:put kinsinga.sh /tmp/kinsinga.sh

上传木马

3、执行挖矿木马

ssh root@靶机ip // 登录

chmod +x kinsinga.sh // 赋予权限

./kinsinga.sh // 执行木马

执行木马

查看进程

ps -ef | grep kin*

查看进程

4、查看靶机CPU情况

top

查看靶机CPU情况


应急响应——事件处理

1、查看系统负载,查看CPU情况

命令:top

发现cpu占用率97%,其中占用率最高的是kdevtmpfsi进程,pid为2009

CPU情况

2、查看网络连接情况,发现恶意进程

netstat -anptl

发现异常连接,存在可疑ip地址: 91.215.169.111 、 45.89.230.240

3、威胁情报平台上查看可以IP地址的情况

微步在线: https://x.threatbook.cn/

微步情报显示恶意软件、傀儡机、私有矿池等信息

4、通过进程号查看程序执行路径

pstree –p :显示进程树

systemctl status 2009 :查看进程号 2009 状态

ls -l /proc/2009/cwd

ls -l /proc/1993/cwd

发现 2009 进程对应执行文件路径:

/tmp/kdevtmpfsi

发现 1993 进程对应执行文件路径:

/tmp/kinsing.sh

5、查看计划任务

crontab –l

查看计划任务

进入计划任务目录查看是否存在隐藏的计划任务

cd /var/spool/cron/crontabs/

cat -A root

6、日志分析

查看是否具有ssh爆破的行为

last -f /var/log/wtmp | less

last -f /var/log/btmp | less

日志分析


应急响应——事件抑制

定位挖矿木马并查杀

• 杀掉进程: kill 2009 、 kill 1993

• 杀掉这两个进程之后,但是过了几分钟,cpu又爆满,发现挖矿程序再次运行

• 因为该木马还添加了计划任务,需要先删除计划任务,再杀掉恶意进程,最后删除挖矿木马程序

删除计划任务:

crontab -u root –r

杀掉进程:

kill 3805

kill 3829

删除挖矿木马:

rm kdevtmpfsi

rm kinsinga.sh

查看 CPU 占用情况

终端安装杀毒软件

使用流量监控设备进行内网流量监控

出口防火墙封堵挖矿地址和IP

清除挖矿木马:

1、阻断矿池地址的连接

2、清除挖矿定时任务、启动项等

3、定位挖矿木马文件位置并删除

应急响应——根除与恢复

加强密码管理

限制对外发的请求

限制对外开放的端口

配置日志相关系统

增加流量监控

增强安全审计工作

增加日常安全检测

本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
  

闽ICP备14008679号