挖矿木马的应急响应

Posted 挖洞的土拨鼠

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了挖矿木马的应急响应相关的知识,希望对你有一定的参考价值。

挖矿木马简介



随着区块链的火爆,各种虚拟货币的行情一路走高,不乏有人像炒房炒股一样,通过包括大名鼎鼎的比特币在内的各种虚拟货币发家致富,让人眼馋。在这种情况下,黑客怎么会放过这么赚钱的机会呢。大家都知道,获取虚拟货币除了买卖还有就挖矿,挖矿其实是通过计算机做一些复杂的运算去算出还没有归属的虚拟货币节点,并通告这样就归属了自己。但是这种挖矿行为需要极高的计算能力和计算资源,黑客们纷纷编写挖矿木马,通过感染别人的机器,消耗其性能来为自己挖矿获利。

矿马的传播方式



电子邮件附件感染方式


类似一般cc类木马的投递方式,不在做详细赘述,虽然一般服务器的性能都高于个人主机,但是挖矿多采用GPU显卡挖矿,服务器一般却不安装显卡,导致个人主机也是重要的感人目标。

页面感染方式


首先需要攻击一些大流量站点的CDN或者服务器,对其大访问量页面中嵌入挖矿代码,只要你访问这个页面,那么你的浏览器就会执行富文本的挖矿脚本,

利用漏洞感染的方式


已经发现了很多利用可以控制机器的漏洞来感染挖矿木马的行为,比如redis未授权访问拿shell和ms17-010来传播挖矿木马的。

引诱下载或借用人工传播运行类

类似于王者荣耀作弊器等等再QQ群中传播或挂在网上行下载,其本质是个矿马等等。

矿马的运行



最大的运行特点是资源消耗,感觉CPU很高、占用内存很高,个人主机会感觉卡顿,服务器会影响服务质量,监控数据指标等等。同时一些漏洞的利用过程也会产生告警,还有矿池地址等等IOC数据的访问也可以帮助判断。
总结如下,发现矿马的检测手法:

  • CPU、GPU、内存告警
  • 相关漏洞利用告警
  • HIDS矿马告警
  • IOC告警

矿马样本的提取



  • 结合IOC或者netstat看起来不对的连接判断进程:netstat -abo | findstr "xxxxx" 或者 netstat -abo | grep "xxxxxxx"
  • 使用终端安全软件或者杀毒告警日志来提取
  • 使用日志分析进程启动发现的异常进程,获取路径

矿马的网络流量特点



如果不熟悉的jsonrpc的人,请先了解下jsonrpc:json-rpc是基于json的跨语言远程调用协议,在矿马中常见,转16进制后是:6a736f6e727063,在矿马的网络通信流量里面一般都会出现这个payload串。

矿马的查杀和事后修复



使用一般的杀毒软件即可,没有很难查杀,但是其传染途径是值得注意的,如果是认为因素,则需要进行安全教育,如果存在各种漏洞,需要及时修复漏洞才能避免继续中招。

补充说明



需要二进制分析的人员,对样本作分析,这是提取样本后确认样本分类、行为、危害的最佳依据和实践。

以上是关于挖矿木马的应急响应的主要内容,如果未能解决你的问题,请参考以下文章

安全通告:针对SaltStack远程命令执行漏洞植入挖矿木马的应急响应

通告:针对SaltStack远程命令执行漏洞(CVE-2020-11651CVE-2020-11652)植入挖矿木马的应急响应

应急响应中常见的日志收集

Linux应急响应:盖茨木马

安全运维 - Windows系统应急响应

Window应急响应:挖矿病毒