什么是挖矿木马？我猜你还不知道

程序员肉肉

已于 2024-01-05 19:27:10 修改

阅读量999

点赞数 22

文章标签： web安全安全系统安全计算机网络网络

于 2023-12-19 17:03:29 首次发布

本文链接：https://blog.csdn.net/yy1715713348/article/details/135056790

版权

由于区块链技术热炒以及数字货币魔性推广运营，如比特币、以太币、门罗币、达世币等层出不穷的数字货币各种热炒，在这些的利益驱使下便出现各种模式的挖矿木马程序。

挖矿木马主要就是通过利用各种手段，将挖矿程序植入到用户的计算机中，在用户不知情的情况下，偷偷利用用户的计算机进行执行挖矿功能，从而获取收益。

以下情况是用户中木马的高频事件：

1.用户往往在不注意的时候，下载并运行了来历不明的破解软件或不安全软件;

2.用户点击运行了钓鱼邮件中的附件的文件;

3.用户没有做好系统及时更新，通过系统漏洞传播;

4.用户浏览了植入挖矿脚本的网页，浏览器就解析脚本进行挖矿。

现在的挖矿木马存在种类非常多常见的如：普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker 模式的挖矿程序。

自查挖矿木马

1.cpu 的使用率，中了挖矿木马，因为会在系统中运行挖矿程序，使得计算机在正常运行下会变得非常卡顿，并且 CPU 的使用率会变得非常高，甚至会达到 100%。

2.通过杀毒软件进行全盘查杀，如果计算机中有存在挖矿木马的样本程序，杀毒软件一般情况下是可以查杀。

3.通过抓包工具(Wireshark）进行查看分析流量，从流量中去分析排查可疑的流量数据包。

样本基本信息

通过 hash 工具获取都挖矿木马样本的 MD5、SHA1、CRC32 数据。

该挖矿样本是控制台窗口的应用程序，通过 ExeInfo PE 工具中的区段信息，可以看出该样本采用了 UPX 压缩壳进行对样本保护，并且该样本程序是 64 位的应用程序。

通过火绒病毒查杀软件，进行扫描查杀该样本程序，可以从下图看到，该样本是属于 Coinminer 团伙研发的挖矿病毒样本程序。

木马功能分析

分析样本需要工具：虚拟机 VMware、IDA、X64dbg、pchunter、WireShark 等工具。脱 UPX 压缩壳方法：单步调试法、内存访问断点法、堆栈平衡法。

通过单步调试法进行脱 UPX 壳，样本加载进 x64dbg 工具后，就单步 F8 方式，一直单步运行，通过观察程序的相对地址，直到跳转到原程序的 OEP 位置。那么再将内存数据 dump 下来就可以了。

样本的主要功能：通过循环遍历创建控制台文件，写入数据到文件，启动控制台文件。通过利用系统函数 CreateFileW 进行创建文件名称设置为 7 个字母的随机名称的文件，并通过 WriteFile 函数，将原始样本内数据拷贝到新创建的进程文件中，最后通过调用系统函数 CreateProcessW 函数进行启动样本。

下图是 x64dbg 调试工具中执行 CreateFileW 进行创建文件。

拼接生成的随机文件名称。

已在指定的目录下成功的生成了应用程序。

通过调用 WriteFile 将数据写入到新创建的文件

最后在通过调用 CreateProcessW 进行启动创建的应用程序。

执行完以上功能后，最终的效果如下图所示。

通过拼接 json 格式，并以 http 协议方式进行发送数据。

从上面的 json 格式中可以很清晰看到访问请求的 ip 地址很端口号：3.120.98.217:8080。接下来反查这个 ip 地址信息，可以看到这个 ip 地址指向的是德国的。

在通过 360 威胁情报中心https://ti.360.cn/#/homepage进行更详细查询这个 ip 地址相关的信息。从下图可以看到这个 ip 地址是属于 Coinminer 家族的挖矿样本，并且查询到的相关联的样本也并不少。

该木马的清理

通过将 C:\Windows\system\目录下，所有随机名称的应用程序文件进行删除。就可以清除掉这个挖矿样本所遗留的应用程序。

预防防护中挖矿样本

1.在计算机中安装病毒查杀软件(火绒、360 杀毒)，并及时更新病毒查杀软件的病毒库，还需做好定时全盘查杀病毒。

2.及时做好计算机系统补丁的更新。

3.服务器、主机、数据库等使用高强度的密码口令，切勿使用弱口令，防止被暴力破解。

4.网络上不要去随意下载、运行来历不明的程序或者破解程序，不随意点击来历不明的链接。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023A年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。