教你检测门罗币挖矿木马

Posted MS016 小组

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教你检测门罗币挖矿木马相关的知识,希望对你有一定的参考价值。

MS016小组(原创)

前言:

随着比特币的成功,越来越多的山寨币开始模仿.

因为有些人,在比特币刚开始的时候,感觉不靠谱 错失了挣钱的良机.

所以现在很多人后悔了 , 就开始寄托于别的币  , 所以有些人投入机器挖矿.

而黑客呢 掌握技术 也等同于掌握机器!也不是所有机器都能挖矿的 ,

当然以黑客的视角去思考问题,一般的黑客都是通过.

这里有张流程图 ,根据爆出来的已知漏洞 而且危害很高的 比如ST – 045 

等等 , 而且像苹果系统mac os 也能挖矿  linux挖矿比window挖矿更加稳定,

我讲的是门罗币,  还有检测的话方法也是检查Windows系统.

 

说完系统当然是讲挖矿的配置,

一般黑客入侵完服务器后植入的挖矿木马,都是以静默包的 形式 运行.

 

什么是静默包 百度的

静默安装指是在后台运行 自动安装,安装时无需任何用户干预,直接按默认设置安装。

静默安装的过程是看不到的(隐藏安装,看不见的)。运行了就在后台安装,隐藏了非可视化。

静默包一般是在软件捆绑以及预装推荐等类型上,这样可以实现很多用户勾选选择推荐安装的软件后,可以自动化的安装。

 

也许有些挖矿木马,  有这一项功能 就是检测显卡 CPU挖矿.

如果显卡满足条件就挖显卡, 如果没显卡就利用CPU挖矿.

但是现在很多服务器都是不会有显卡的  ,基本黑客拿完服务器利用CPU挖矿.

显卡卖的很贵现在 服务器上出现基本是很少  ,显卡类型有N卡 和A卡 .

所以二种显卡也需要区分去使用,说完了黑客基本攻击流程 所以开始讲怎么检测了.

 

如果你是运维人员,  发现自己服务器非常卡 ,运行缓慢八成被植入了挖矿木马 .

 

1.第一时间分析系统是不是存在什么漏洞,而且你不需要当心被零日漏洞攻击  !   大多数都是已知漏洞 或者爆破工具,拿下的服务器 ,所以可以去查询最近相关爆出的危害教大的漏洞 ,而且和自己服务器使用的一些组件 有关的。

 

2.第二就是查找挖矿木马 ,找挖矿木马钱包地址.

可以讲一下案例 ,为了获取样本分析 使用了tomcat 和 java rmi 漏洞 扫描全球网络。

发现了很多被入侵的机器当然也获取了样本分析. 

 

这是在被黑服务器提取的挖矿木马  用哈勃 动态分析 一下 运行会有那些行为特征

 

创建文件csrss.exe 文件  ,csrss.exe  文件是Windows系统核心进程  ,也是被木马经常利用的进程

而且木马有守护进程  结束的话系统会关机 或者挖矿木马自动恢复挖矿.

执行CmdShell命令 运行 挖矿程序,这段cmd命令就是调用挖矿程序csrss.exe文件 开始挖的.

Csrss.exe 文件就是门罗币挖矿程序 只是这个文件名定义成了 Csrss.

黑客钱包地址

46xzbEFicggME8PBfwPnwuHbtk2UQY6xmMjAs3MHvLEmSyTnBv3BQTdYZ5Nfw5qLGbZmvTH4rZMXZF6rYNjgfAABSm9FaYT

矿池地址   minexmr.com

在这个矿池查看 算力 和支付纪录 惊人!

 3.分析完 挖矿木马当然是 如果种了 挖矿木马怎么查杀,

刚才使用哈勃分析了木马 的行为特征,

然后使用杀毒软件查杀 ,看看是否杀毒软件把挖矿木马特征码加入了病毒库.

使用火绒查杀挖矿木马  并且免杀

然后利用在线检测  只有三种杀毒软件检测到了木马

打开运行挖矿木马 有杀毒软件也不一定能有效拦截,

而且随着研究 还有一些黑客  使用了不同的挖矿方法.

附上挖矿木马分析地址

哈勃 https://habo.qq.com/file/showdetail?pk=ADMGZ11oB2YIMFs7#file

virscan http://r.virscan.org/report/5497aaf5d4e3e0246f2e00f8e0495a97

  感谢刀仔的技术支持

以上是关于教你检测门罗币挖矿木马的主要内容,如果未能解决你的问题,请参考以下文章

门罗币挖矿解决方案

xml币怎么挖

对比特币挖矿木马分析研究和清除

详细教程教你零成本参与以太坊官方项目ETH 上的存储 Swarm 挖矿,BEE币挖矿

H2Miner利用SaltStack漏洞获利超370万人民币,门罗币仍为最受黑客喜爱目标

Ubuntu16.04.01 kswapd0 进程占用cpu很高,中了亡命徒(Outlaw)挖矿病毒