忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应

最新推荐文章于 2024-07-16 18:15:09 发布
最新推荐文章于 2024-07-16 18:15:09 发布
阅读量967 收藏 3
点赞数
文章标签: 安全 科技 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61431042/article/details/125335514
版权

戟星安全实验室

    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约1790字,阅读约需5分钟。

0x00 前言

随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。

0x01 windows系统

  • 环境准备

 

https://github.com/skypool-org/xmrig-skypool/releases
 

 

 

 

    
 
  •  
    应急场景
     
    • 

 

服务器被植入挖矿病毒,cpu资源100%
 

 

 

 

    
 
  •  
    事件分析
     
    • 

 

登录网站服务器进行排查,查看服务器进程得出xmrig.exe占用cpu99%
 

 

 

 

查看文件的创建时间为2022.03.26
 

 


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  忆享科技
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
网络安全自学教程》- 挖矿病毒排查思路和处置步骤

				
			

			

				

					wangyuxiang946的博客
				

				

					05-05
					
					2万+
					
				

			

		

		

			
				
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。
而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。
最后通过账号、日志、母体文件等信息,溯源攻击路径。

			
		

	



                

              
                



	

		

			

				
					
Window应急响应(四):挖矿病毒

				
			

			

				

					
				

				

					08-05
					
					5101
					
				

			

		

		

			
				
0x00 前言

​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。

0x01 应急场景

​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。





0x02 事件分析
...

			
		

	



                


  
              

                


	

		

			

				
					
应急响应】Windows应急响应手册(准备阶段、挖矿病毒

					
最新发布

				
			

			

				

					做自己喜欢的事,并将其发挥到极致!
				

				

					07-16
					
					851
					
				

			

		

		

			
				
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!

			
		

	





	

		

			

				
					
网络安全应急响应----6、挖矿攻击应急响应

					
热门推荐

				
			

			

				

					七天
				

				

					03-21
					
					1万+
					
				

			

		

		

			
				
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御


一、挖矿木马简介
挖矿:
每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应

			
		

	



		

			
		



	

		

			

				
					
记·Linux挖矿病毒应急响应

				
			

			

				

					chongya927的博客
				

				

					03-01
					
					1988
					
				

			

		

		

			
				
Linux挖矿病毒应急响应

			
		

	





	

		

			

				
					
记一次挖矿病毒应急响应

				
			

			

				

					qq_40909772的博客
				

				

					01-14
					
					3088
					
				

			

		

		

			
				
1.概述
  接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。

2.排查思路

根据通告信息中的地址,询问客户,发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat,所以此地址不是中毒主机。
尝试查看路由器中是否存在nat地址转化表,最后发现路由器上是做了基于端口的地址转换,这个方法行不通。
思考后决定去客户核心交换机上进行抓包分析。

3.镜像端口配置
  客户设备是一台华为的设备,如下图是模拟的一个拓扑:

  例如配置GigabitEthernet0/0/1端口流量镜像

			
		

	





	

		

			

				
					
从重大漏洞应急看云原生架构下的安全建设与安全运营(下)

				
			

			

				

					YDclub的博客
				

				

					01-25
					
					7884
					
				

			

		

		

			
				
重大漏洞的应急响应总结与安全运营驱动的安全能力建设

			
		

	





	

		

			

				
					
卡巴斯基实验室:2020Q2 APT趋势报告

				
			

			

				

					systemino的博客
				

				

					08-16
					
					972
					
				

			

		

		

			
				
一、概述

卡巴斯基全球研究与分析团队(GReAT)三年多以来一直在发布高级持续性威胁(APT)活动的季度报告。这些报告基于我们的威胁情报研究,提供了我们在私有APT报告中已经发布和详细讨论的部分内容摘要,以突出展示我们认为大家应该关注的重大事件和发现。

这是我们系列报告的最新一期,重点关注我们在2020年第二季度期间观察到的活动。

二、显著发现

5月11日,总部位于英国的超级计算中心ARCHER宣布将在调查安全事件期间关闭对互联网的访问。其网站表明,“ARCHER设施是基于提供核心计算资源的Cray

			
		

	





	

		

			

				
					
网络空间安全——总结

				
			

			

				

					LinYuan
				

				

					09-10
					
					1万+
					
				

			

		

		

			
				
1 绪论
课程目标:

系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。

课程重点:

勾勒网络空间安全的框架。

课程内容安排:

安全法律法规
物理设备安全
网络攻防技术
恶意代码及防护
操作系统安全
无线网络安全
数据安全
信息隐藏
隐私保护
区块链
物联网安全
密码学基础

网络空间安全概念由来

欧洲信息安全局:网络空间安全和信息安全概...

			
		

	





	

		

			

				
					
网络安全专业名词解释

				
			

			

				

					aixmmmlll的博客
				

				

					05-16
					
					3871
					
				

			

		

		

			
				
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。
2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。
3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互

			
		

	





	

		

			

				
					
挖矿应急响应小结

				
			

			

				

					bloodzer0
				

				

					03-04
					
					1042
					
				

			

		

		

			
				
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。
1. 挖矿特征分析
当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:

服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...

			
		

	





	

		

			

				
					
记·Windows挖矿病毒应急响应

				
			

			

				

					chongya927的博客
				

				

					02-28
					
					2578
					
				

			

		

		

			
				
Windows挖矿病毒应急响应

			
		

	





	

		

			

				
					
Linux挖矿应急响应处置

				
			

			

				

					weixin_43253823的博客
				

				

					03-06
					
					1932
					
				

			

		

		

			
				
记一次Liunx挖矿应急处置流程

			
		

	





	

		

			

				
					
记一次挖矿病毒应急响应事件

				
			

			

				

					MachineGunJoe666
				

				

					11-10
					
					734
					
				

			

		

		

			
				
应急主机排查
近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。

查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。
进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。

使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与

			
		

	





	

		

			

				
					
【记一次真实的挖矿病毒应急响应

				
			

			

				

					一纸荒芜的博客
				

				

					03-25
					
					2380
					
				

			

		

		

			
				
分享一起真实的挖矿病毒应急响应案例

			
		

	





	

		

			

				
					
Linux挖矿病毒事件应急响应演练(dbused木马)

				
			

			

				

					Li-D的博客
				

				

					11-17
					
					7334
					
				

			

		

		

			
				
环境准备
**攻击机**:kali(192.168.130.131)
**靶机**:Ubuntu(192.168.130.138)

攻击阶段
(1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口;

(2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root

(3)在攻击机上准备挖矿病毒
(4)接下来进行攻击入侵,等待脚本运行

应急响应
检测阶段
(1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率
(2)查看是否存

			
		

	





	

		

			

				
					
挖矿病毒应急响应分析

				
			

			

				

					qq_43147309的博客
				

				

					03-17
					
					1529
					
				

			

		

		

			
				
Top发现CPU资源异常,wafmanager占用大量网络带宽:

作为管理员来说,首先kill它:

用户root运行。


查询特权用户和远程登陆的账号信息,其中r00t很可疑:



查看除root外的用户权限:



查看账号执行过的命令:
R00t:






其中查看了selinux, selinux主要影响的是网络服务,如果开启了某个网络服务就要考虑是否和selinux有关系。查看...

			
		

	





	

		

			

				
					
应急响应-Windows-挖矿病毒

				
			

			

				

					Sgirll的博客
				

				

					05-14
					
					456
					
				

			

		

		

			
				
随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒应急响应和防范措施进行分析和总结。

			
		

	





	

		

			

				
					
centos挖矿病毒

				
			

			

				

					04-26
				

			

		

		

			
				
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。  一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值