挖矿木马简介
• 挖矿(Mining),早期与比特币有关,用户使用个人计算机下载软件,然后运行特定的算法,与远方服务器通信后得到相应比特币,挖矿就是利用比特币挖矿赚取比特币
• 由于挖矿成本过于高昂,一些不法分子通过各种手段将矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,从而获取非法收益。这类非法侵入用户计算机的矿机程序被称作挖矿木马
• 挖矿木马进行超频运算时占用大量CPU资源,导致计算机上其他应用无法正常运行。不法分子为了使用更多算力资源,一般会对全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点,在成功入侵一台主机后,尝试对内网其他机器进行蠕虫式的横向渗透,并在被入侵的机器上持久化驻留,长期利用机器挖矿获利。
常见挖矿木马
Mykings(隐匿者)
• MyKings 是一个长期存在的僵尸网络, 自从 2016 年开始便一直处于活跃状态。它在全世界大肆传播和扩张,以至于获得了多个名称 ,例如,MyKings、Smominru和DarkCloud。其庞大的基础设施由多个部件和模块组成,包括bootkit、 coin miners、droppers、clipboard stealers(剪贴板窃取器)等
• Mykings 主要利用“永恒之蓝”漏洞,针对 MsSQL、Telnet、RDP、CCTV等系统组件或设备进行密码暴力破解,暴力破解成功后,利用扫描攻击进行蠕虫式传播。Mykings不仅局限于挖矿获利,还与其他黑产家族合作完成锁首页,DDoS 攻击等
8220Miner
• 8220Miner 被披露于 2018年 8月,因固定使用 8220 端口而被命名。
• 8220Miner 利用多个漏洞进行攻击和部署挖矿程序,是一个长期活跃的组织,也是最早使用 Hadoop Yarn 未授权访问漏洞攻击的挖矿木马,除此之外,还是用了多种其他的Web 服务漏洞。8220 Miner 没有采用蠕虫式的传播,而是使用固定一组 IP 地址进行全网攻击,为了持久化驻留,使用了 rootkit 技术进行自我隐藏。
WannaMine
• WannaMine采用“无文件”攻击组成挖矿僵尸网络,最早在2017年底被发现,攻击时执行远程Powershell代码,全程无文件落地。为了隐藏其恶意行为,WannaMine还会通过WMI类属性存储shellcode, 并使用“永恒之蓝”漏洞攻击武器以及“Mimikatz+WMIExec”攻击组件进行横向渗透。
• 2018年6月,WannaMine 增加了 DDoS 模块,改变了以往的代码风格和攻击手法。2019年4月,WannaMine 舍弃了原有的隐匿策略,启用新的 C2 地址存放恶意代码,采用Powershell 内存注入执行挖矿程序和释放PE木马挖矿的方法进行挖矿,增大了挖矿程序执行的概率。
传播方式
• 利用漏洞传播
• 通过弱口令爆破传播
• 通过僵尸网络传播
• 采用无文件攻击方法传播
• 利用网页挂马传播
• 利用软件供应链攻击传播
• 利用社交软件、邮件传播
• 内部人员私自安装和运行挖矿程序
处置方法
1、隔离被感染的服务器或主机
2、确认挖矿进程
3、清除挖矿木马
• 阻断矿池地址连接
• 清除挖矿定时任务、启动项等
• 定位挖矿木马文件的位置,并清除
清除木马
• 从内网DNS服务器、DNS防火墙、流量审计设备等设备获取恶意域名信息,根据域名查询威胁情报确定木马类型。
• 查看系统CPU、内存、网络占用情况,获取异常进程相关信息
• 根据进程名或部分字符串获取进程号或进程相关的命令行命令
• 根据进程号查看由进程运行的线程
• 结束挖矿进程及其守护进程
• 通过挖矿进程的相关信息,定位到文件的具体位置,删除恶意文件
• 查看启动项,如果发现非法开机自启服务项,停止并删除对应数据
• 查看定时任务
• 溯源挖矿木马入侵途径,查找系统漏洞,打上对应补丁,完成漏洞修复,防止再次入侵
【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回复“资料领取”获取——】
1.网络安全多个方向学习路线
2.全网最全的CTF入门学习资料
3.一线大佬实战经验分享笔记
4.网安大厂面试题合集
5.红蓝对抗实战技术秘籍
6.网络安全基础入门、Linux、web安全、渗透测试方面视频
防护建议
• 规范上网行为,不安装来历不明的软件、工具
• 不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件
• 进行严格的隔离,有关系统、服务尽量不要开放到互联网,在内网中的系统也要通过防火墙、VLAN或网闸等进行隔离。对于系统要采取最小化服务的原则,只提供必要的服务无关的服务必须要关闭,同时采用本机防火墙进行访问要进行访问控制
• 及时安装系统补丁,修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞
• 加强密码策略,增加密码复杂度并进行定期修改,开启相关登录失败处理功能
• 服务器定期维护
常用工具
• ProcessExplorer:能管理隐藏的程序,可监视、挂起、重启、终止程序
• PCHunter:功能强大的系统信息查看软件,PCHunter使用了windows 内核技术
模拟攻击(kali—>kali)
1、在攻击机上准备好挖矿木马
使用unzip解压
解压
解压成功
再次解压
木马准备成功
2、上传木马
假如通过爆破得到对方主机的SSH密码,通过SSH上传挖矿木马 kinsinga.sh
sftp root@靶机ip
连接成功后,上传木马:put kinsinga.sh /tmp/kinsinga.sh
上传木马
3、执行挖矿木马
ssh root@靶机ip // 登录
chmod +x kinsinga.sh // 赋予权限
./kinsinga.sh // 执行木马
执行木马
查看进程
ps -ef | grep kin*
查看进程
4、查看靶机CPU情况
top
查看靶机CPU情况
应急响应——事件处理
1、查看系统负载,查看CPU情况
命令:top
发现cpu占用率97%,其中占用率最高的是kdevtmpfsi进程,pid为2009
CPU情况
2、查看网络连接情况,发现恶意进程
netstat -anptl
发现异常连接,存在可疑ip地址: 91.215.169.111 、 45.89.230.240
3、威胁情报平台上查看可以IP地址的情况
微步在线: https://x.threatbook.cn/
微步情报显示恶意软件、傀儡机、私有矿池等信息
4、通过进程号查看程序执行路径
pstree –p :显示进程树
systemctl status 2009 :查看进程号 2009 状态
ls -l /proc/2009/cwd
ls -l /proc/1993/cwd
发现 2009 进程对应执行文件路径:
/tmp/kdevtmpfsi
发现 1993 进程对应执行文件路径:
/tmp/kinsing.sh
5、查看计划任务
crontab –l
查看计划任务
进入计划任务目录查看是否存在隐藏的计划任务
cd /var/spool/cron/crontabs/
cat -A root
6、日志分析
查看是否具有ssh爆破的行为
last -f /var/log/wtmp | less
last -f /var/log/btmp | less
日志分析
应急响应——事件抑制
定位挖矿木马并查杀
• 杀掉进程: kill 2009 、 kill 1993
• 杀掉这两个进程之后,但是过了几分钟,cpu又爆满,发现挖矿程序再次运行
• 因为该木马还添加了计划任务,需要先删除计划任务,再杀掉恶意进程,最后删除挖矿木马程序
删除计划任务:
crontab -u root –r
杀掉进程:
kill 3805
kill 3829
删除挖矿木马:
rm kdevtmpfsi
rm kinsinga.sh
查看 CPU 占用情况
终端安装杀毒软件
使用流量监控设备进行内网流量监控
出口防火墙封堵挖矿地址和IP
清除挖矿木马:
1、阻断矿池地址的连接
2、清除挖矿定时任务、启动项等
3、定位挖矿木马文件位置并删除
应急响应——根除与恢复
加强密码管理
限制对外发的请求
限制对外开放的端口
配置日志相关系统
增加流量监控
增强安全审计工作
增加日常安全检测
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
