【挖矿】匿影挖矿概述及自查防护

最新推荐文章于 2024-06-01 09:30:24 发布
最新推荐文章于 2024-06-01 09:30:24 发布
阅读量133 收藏
点赞数
分类专栏: 漏洞修复 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44920125/article/details/132313997
版权

@CANCANJUN

匿影挖矿攻击

概述

该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播,被感染的电脑首先会解析特定URL上的内容,然后进行挖矿(门罗币、BEAM币)、对抗杀软等操作,最终组成其僵尸网络中的一员“匿影”病毒家族,大部分恶意模块均采用VMP保护,包括驱动对抗程序,为提高分析的成本,增加分析难度。而且恶意病毒的下载传播的服务器空间,均使用三方服务、网盘、图床,很难捕捉其真实地址。

挖矿名称匿影
涉及平台Windows平台
相关恶意代码家族匿影、Generic
攻击入口使用永恒之蓝漏洞
相关漏洞及编号CVE-2017-0144
描述简介此病毒利用白加黑手法,通过NSA泄露工具包,永恒之蓝等漏洞进行横向传播,执行powershell脚本进行挖矿,感染传播,并且释放驱动对抗杀软。此病毒主要挖门罗币和Handshake(hns),通过f2pool矿池进行挖矿。

自查方法

1.检查任务管理器中是否存在MicrosftEdgeCP.exe进程;

2.检查任务计划里是否存在名为csapu的计划任务;
计划任务

3.检查C:\ProgramData路径下是否存在Officekms.exe、WinRing0x64.sys、Gtt.exe、Go.exe、Nb.exe、Office.exe。

文件名功能
Officekms.exe挖矿程序
WinRing0x64.sysCPU信息检出
Gtt.exe挖矿,驱动保护
Go.exe挖矿,驱动保护
Nb.exe挖矿程序
Office.exe横向传播,漏洞利用

如何清除

1、关闭任务管理器中进程;

2、结束计划任务中的计划任务;

3、删除指定路径下的恶意程序;

4、安装终端杀毒对全盘进行扫描;

cancanjun888
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WinRing0帮助文档
04-19
How to Use Common Put WinRing0.dll, WinRing0x64.dll, WinRing0.sys, WinRing0x64.sys, and WinRing0.vxd into the directory where your application's executable file resides. Visual C++ 2005/2008 See also sample application. Load-Time Dynamic Linking Add WinRing0.lib or WinRing0x64.lib to your project. Add #include "OlsApi.h" statement to your source file. Call InitializeOls(). Call GetDllStatus() to check error. Call the library's functions. Call DeinitializeOls(). Reference : Load-Time Dynamic Linking (MSDN) Run-Time Dynamic Linking Add #include "OlsApiInit.h" statement to your source file. Call InitOpenLibSys(). Call GetDllStatus() to check error. Call the library's functions. * Call DeinitOpenLibSys(). *If you would like to call the library's functions on other source files, you should add #include "OlsApiInitExt.h" statement to the source files. Reference : Run-Time Dynamic Linking (MSDN) Visual C# 2005/2008 See also sample application. Put OpenLibSys.cs into your project. Add using OpenLibSys; statement to your source file. Call GetStatus() and GetDllStatus() to check error. Call the library's functions. *Supported platform target is "x86", "x64" and "Any CPU". But WinRing0 does not support "IA64".
WinRing0驱动程序源代码
06-04
WinRing0.sys驱动的源代码,不错的东西
匿影挖矿病毒半手动查杀记录
SkYe's Blog
04-04 1587
以防读者是中招,寻求解决方法的,所以就直接进入主题。 中毒特征 电脑反应迟 任务管理器中存在一个名为MicrosftEdgeCP.exe的进程 (可能)在任务计划程序库中有一项名为csapu的计划,详细请看图(来自金山毒霸): 解决方法 如果计划任务中有上图的触发任务,先删除。 进入C:\Users\Public删除红圈内文件: 其中MicrosftEdgeCP.ex...
KdMapper扩展实现之CrystalMark(winring0x64.sys)
时空之中的灵魂
09-09 247
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
探索硬件边界:WinRing0——Windows的硬件访问库
最新发布
gitblog_00031的博客
06-01 523
探索硬件边界:WinRing0——Windows的硬件访问库 项目地址:https://gitcode.com/GermanAizek/WinRing0 项目介绍 在软件世界中,有时我们需要深入硬件层面以实现更高效或特定的功能。这就是WinRing0所扮演的角色。这是一个针对x86/x64架构的Windows系统的开源硬件访问库,它为开发者提供了一种手段,可以直接与I/O端口、模型特定寄存器(MS...
第一篇 windows驱动之WinRing0.sys的开发及使用(电脑温度监控软件开发)
qq_25231249的博客
08-19 5602
从鲁大师的温度监控谈起,现代的CPU、GPU等芯片一般都具有温度监控的功能,比如我们可能会遇到的电脑散热不好导致系统直接关机黑屏,就是cpu检测到当前温度高于额定温度执行的操作。鲁大师的温度监控模块就相当于把这些信息从底层硬件读取,然后通过上层UI显示给用户。其核心就是与硬件的通信驱动。现在win10的驱动都可以通过系统更新直接完成,不再需要安装流氓软件“驱动精灵”、“驱动人生”等。我一般只用到温度检测模块,其他功能于我都是鸡肋,为了一个很小的功能,我需要安装一个庞大的鲁大师程序,甚是不划算。
winring0 初始化失败问题
baidu_40624101的博客
06-16 1589
winring0初始化失败查找方法之一
Windows下QT使用WinRing0控制主板的蜂鸣器响
qq_38203996的博客
07-03 1538
最近在windows10下用QT做项目,需要在用户进行某项操作时进行声音提示,扬声器的话一来增加成本,二来也受系统提示音困扰。搜索网上有两种解决办法,一个是WinIO的方式,这种处理起来比较麻烦,量产时费人费力还容易造成系统不稳定。另外一种就是WinRing0了,也就是这篇博客讲的。Q_OBJECT;private ://声明所用到的dll文件 };
win系统cpu温度获取
道法自然
07-10 5444
基于win 系统的cpu温度获取,用底层驱动来读取cpu温度寄存器的数值,注意,一般网上用到的WMI方式是无法获取cpu温度等信息的,这涉及到win系统的权限,而且,WMI是从BIOS主板上来读取数据的,基本上生产商不会把cpu温度,显卡温度等信息写入BIOS 中,而且写入的还是一个固定值,也就是说,cpu温度不会变,本人也尝试了很多方法,最后得出结论,只用通过底层去驱动才能时刻读取cpu温度的准...
挖矿】8220团队挖矿概述自查防护
我的博客
08-13 155
8220团伙挖矿攻击是360威胁情报中心发现的挖矿攻击黑客团伙,其主要针对高校相关的Linux服务器实施挖矿攻击。
典型的恶意挖矿恶意代码家族及自查方法.docx
02-11
典型的恶意挖矿恶意代码家族及自查方法
网络安全防护自查报告.docx
06-16
网络安全防护自查报告.docx网络安全防护自查报告.docx网络安全防护自查报告.docx网络安全防护自查报告.docx网络安全防护自查报告.docx网络安全防护自查报告.docx网络安全防护自查报告.docx网络安全防护自查报告.docx
Winring0支持win7 64全文件
09-12
C++ Ring0级系统硬件和内存访问 访问硬件端口用来模拟按键什么都挡不住,模拟按键只是大材小用了 WinIO 和 Winring0 都非常强大 由于驱动的签名问题.WinIO在Win7 x64 上目前运行不能,也许我没找对方法 所以转而 Winring0。(注: Winring0 以前是开源项目,后来关闭.最后能找到的版本是1.3.1a) Winring0这个驱动有数字签名!!!能在64位WIN7下工作! WinIO 最新版本3.0 Winring0 最新版本 1.3.1a (只有二进制文件) Winring0 1.3.0 (源码+二进制文件+自带示例) 两个项目都有chm帮助文档(很简单的英语)
WinRing0_1_3_0
03-24
Ring0级系统硬件和内存访问工具 Ring0级系统硬件和内存访问工具
WinRing.dll WinRing0 is a hardware access library for Windows.
02-14
这是一个开源的项目,在此感谢这个项目的原作者 你这个调用这个DLL直接访问WIN7 系统的硬件物理端口,测试支持X64系统,驱动通过微软签名认证。 第一次上传资料,如有错误和不足欢迎批评指正 How to Use Common Put WinRing0.dll, WinRing0x64.dll, WinRing0.sys, WinRing0x64.sys, and WinRing0.vxd into the directory where your application's executable file resides. Visual C++ 2005/2008 See also sample application. Load-Time Dynamic Linking Add WinRing0.lib or WinRing0x64.lib to your project. Add #include "OlsApi.h" statement to your source file. Call InitializeOls(). Call GetDllStatus() to check error. Call the library's functions. Call DeinitializeOls(). Reference : Load-Time Dynamic Linking (MSDN) Run-Time Dynamic Linking Add #include "OlsApiInit.h" statement to your source file. Call InitOpenLibSys(). Call GetDllStatus() to check error. Call the library's functions. * Call DeinitOpenLibSys(). *If you would like to call the library's functions on other source files, you should add #include "OlsApiInitExt.h" statement to the source files. Reference : Run-Time Dynamic Linking (MSDN) Visual C# 2005/2008 See also sample application. Put OpenLibSys.cs into your project. Add using OpenLibSys; statement to your source file. Call GetStatus() and GetDllStatus() to check error. Call the library's functions. *Supported platform target is "x86", "x64" and "Any CPU". But WinRing0 does not support "IA64". Copyright (C) OpenLibSys.org. All rights reserved.
网络安全防护自查报告5篇.docx
06-16
网络安全防护自查报告5篇.docx网络安全防护自查报告5篇.docx网络安全防护自查报告5篇.docx网络安全防护自查报告5篇.docx网络安全防护自查报告5篇.docx网络安全防护自查报告5篇.docx网络安全防护自查报告5篇.docx网络...
干塘子光伏电站电力监控系统安全防护检查自查报告.docx
03-27
【干塘子光伏电站电力监控系统安全防护检查自查报告】主要涵盖了电力监控系统的安全防护运维、管理制度、系统配置以及自查和整改情况。以下是基于提供的内容提取出的关键知识点: 1. **安全防护运维与管理**: - ...
工业控制系统信息安全自查表.docx
07-15
这份自查表涉及了多个关键领域,包括系统描述、互联情况、系统组成结构、设备信息、软件选择与管理、配置和补丁管理以及边界安全防护。以下是这些领域的详细解释: 1. **系统描述**: 这一部分要求详细描述工业...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值