MS016小组(原创)
前言:
随着比特币的成功,越来越多的山寨币开始模仿.
因为有些人,在比特币刚开始的时候,感觉不靠谱 错失了挣钱的良机.
所以现在很多人后悔了 , 就开始寄托于别的币 , 所以有些人投入机器挖矿.
而黑客呢 掌握技术 也等同于掌握机器!也不是所有机器都能挖矿的 ,
当然以黑客的视角去思考问题,一般的黑客都是通过.
这里有张流程图 ,根据爆出来的已知漏洞 而且危害很高的 比如ST – 045
等等 , 而且像苹果系统mac os 也能挖矿 linux挖矿比window挖矿更加稳定,
我讲的是门罗币, 还有检测的话方法也是检查Windows系统.
说完系统当然是讲挖矿的配置,
一般黑客入侵完服务器后植入的挖矿木马,都是以静默包的 形式 运行.
什么是静默包 百度的
静默安装指是在后台运行 自动安装,安装时无需任何用户干预,直接按默认设置安装。
静默安装的过程是看不到的(隐藏安装,看不见的)。运行了就在后台安装,隐藏了非可视化。
静默包一般是在软件捆绑以及预装推荐等类型上,这样可以实现很多用户勾选选择推荐安装的软件后,可以自动化的安装。
也许有些挖矿木马, 有这一项功能 就是检测显卡 CPU挖矿.
如果显卡满足条件就挖显卡, 如果没显卡就利用CPU挖矿.
但是现在很多服务器都是不会有显卡的 ,基本黑客拿完服务器利用CPU挖矿.
显卡卖的很贵现在 服务器上出现基本是很少 ,显卡类型有N卡 和A卡 .
所以二种显卡也需要区分去使用,说完了黑客基本攻击流程 所以开始讲怎么检测了.
如果你是运维人员, 发现自己服务器非常卡 ,运行缓慢八成被植入了挖矿木马 .
1.第一时间分析系统是不是存在什么漏洞,而且你不需要当心被零日漏洞攻击 ! 大多数都是已知漏洞 或者爆破工具,拿下的服务器 ,所以可以去查询最近相关爆出的危害教大的漏洞 ,而且和自己服务器使用的一些组件 有关的。
2.第二就是查找挖矿木马 ,找挖矿木马钱包地址.
可以讲一下案例 ,为了获取样本分析 使用了tomcat 和 java rmi 漏洞 扫描全球网络。
发现了很多被入侵的机器当然也获取了样本分析.
这是在被黑服务器提取的挖矿木马 用哈勃 动态分析 一下 运行会有那些行为特征
创建文件csrss.exe 文件 ,csrss.exe 文件是Windows系统核心进程 ,也是被木马经常利用的进程
而且木马有守护进程 结束的话系统会关机 或者挖矿木马自动恢复挖矿.
执行CmdShell命令 运行 挖矿程序,这段cmd命令就是调用挖矿程序csrss.exe文件 开始挖的.
Csrss.exe 文件就是门罗币挖矿程序 只是这个文件名定义成了 Csrss.
黑客钱包地址
46xzbEFicggME8PBfwPnwuHbtk2UQY6xmMjAs3MHvLEmSyTnBv3BQTdYZ5Nfw5qLGbZmvTH4rZMXZF6rYNjgfAABSm9FaYT
矿池地址 minexmr.com
在这个矿池查看 算力 和支付纪录 惊人!
3.分析完 挖矿木马当然是 如果种了 挖矿木马怎么查杀,
刚才使用哈勃分析了木马 的行为特征,
然后使用杀毒软件查杀 ,看看是否杀毒软件把挖矿木马特征码加入了病毒库.
使用火绒查杀挖矿木马 并且免杀
然后利用在线检测 只有三种杀毒软件检测到了木马
打开运行挖矿木马 有杀毒软件也不一定能有效拦截,
而且随着研究 还有一些黑客 使用了不同的挖矿方法.
附上挖矿木马分析地址
哈勃 https://habo.qq.com/file/showdetail?pk=ADMGZ11oB2YIMFs7#file virscan http://r.virscan.org/report/5497aaf5d4e3e0246f2e00f8e0495a97
感谢刀仔的技术支持