一、背景
近期发现一起Weblogic wls-wsat反序列化漏洞利用攻击事件,利用该漏洞执行powershell系统命令,伪装矿池地址,不易被发现,静默下载猫池(c3pool.com)挖矿脚本,并执行脚本下载XMR挖矿程序并进行挖矿。
猫池会在多种算法的N个币中,选择利润最高的币去挖,因此猫池收益高于只挖一个币的传统矿池。智能模块会根据某个币的交易所价格,交易所深度,挖矿难度(全网算力),挖矿难度变化,每块产出币数,每块间隔时间等因素计算当前哪个币的收益最高;猫池自主研发智能切币和交易引擎,实时地监控N个币的这些信息,可以动态地决定分配多少算力到某个币上。
二、样本介绍
样本基本信息:
样本 | sha256 | 内容 |
---|---|---|
winxmr.bat | 963E0120148A98CC68812A03C6C396938740CDA57E8CFC5C990BA1314B54DA94 | 配置矿池脚本 |
proxy.bat | 6903b5ac0a5454c5a2d1123c754b3a38bb9dbcd56d6e601af0f2025ecff0f384 | 安装挖矿木马脚本 |
7za.exe | 984D5D216572BD31E2A4F90E8AD3E380704FE7D966196B709FE084553A1B629C | 解压工具 |
WinRing0x64.sys | 11BD2C9F9E2397C9A16E0990E4ED2CF0679498FE0FD418A3DFDAC60B5C160EE5 | Win挖矿配置文件 |
xmri |