挖矿木马简介

挖矿木马简介

• 挖矿（Mining），早期与比特币有关，用户使用个人计算机下载软件，然后运行特定的算法，与远方服务器通信后得到相应比特币，挖矿就是利用比特币挖矿赚取比特币
• 由于挖矿本钱过于高昂，一些不法分子通过各种手段将矿机程序植入受害者的计算机中，利用受害者计算机的运算力举行挖矿，从而获取非法收益。这类非法侵入用户计算机的矿机程序被称作挖矿木马
• 挖矿木马举行超频运算时占用大量CPU资源，导致计算机上其他应用无法正常运行。不法分子为了使用更多算力资源，一样寻常会对全网主机举行毛病扫描、SSH爆破等攻击手段。部门挖矿木马还具备横向传播的特点，在成功入侵一台主机后，实验对内网其他呆板举行蠕虫式的横向渗出，并在被入侵的呆板上恒久化驻留，恒久利用呆板挖矿获利。
常见挖矿木马

Mykings（隐匿者）

• MyKings 是一个恒久存在的僵尸网络， 自从 2016 年开始便一直处于活跃状态。它在全世界大肆传播和扩张，以至于获得了多个名称 ，例如，MyKings、Smominru和DarkCloud。其庞大的基础办法由多个部件和模块组成，包括bootkit、 coin miners、droppers、clipboard stealers(剪贴板窃取器)等
• Mykings 主要利用“永恒之蓝”毛病，针对 MsSQL、Telnet、RDP、CCTV等系统组件或装备举行密码暴力破解，暴力破解成功后，利用扫描攻击举行蠕虫式传播。Mykings不仅局限于挖矿获利，还与其他黑产家族合作完成锁首页，DDoS 攻击等
8220Miner

• 8220Miner 被披露于 2018年 8月，因固定使用 8220 端口而被命名。
• 8220Miner 利用多个毛病举行攻击和摆设挖矿程序，是一个恒久活跃的组织，也是最早使用 Hadoop Yarn 未授权访问毛病攻击的挖矿木马，除此之外，还是用了多种其他的Web 服务毛病。8220 Miner 没有采取蠕虫式的传播，而是使用固定一组 IP 地址举行全网攻击，为了恒久化驻留，使用了 rootkit 技术举行自我隐藏。
WannaMine

• WannaMine采取“无文件”攻击组成挖矿僵尸网络，最早在2017年底被发现，攻击时执行远程Powershell代码，全程无文件落地。为了隐藏其恶意行为，WannaMine还会通过WMI类属性存储shellcode, 并使用“永恒之蓝”毛病攻击武器以及“Mimikatz+WMIExec”攻击组件举行横向渗出。
• 2018年6月，WannaMine 增加了 DDoS 模块，改变了以往的代码风格和攻击手法。2019年4月，WannaMine 舍弃了原有的隐匿策略，启用新的 C2 地址存放恶意代码，采取Powershell 内存注入执行挖矿程序和开释PE木马挖矿的方法举行挖矿，增大了挖矿程序执行的概率。
传播方式

• 利用毛病传播
• 通过弱口令爆破传播
• 通过僵尸网络传播
• 采取无文件攻击方法传播
• 利用网页挂马传播
• 利用软件供应链攻击传播
• 利用社交软件、邮件传播
• 内部职员私自安装和运行挖矿程序
处置方法

1、隔离被感染的服务器或主机
2、确认挖矿历程
3、清除挖矿木马
• 阻断矿池地址连接
• 清除挖矿定时使命、启动项等
• 定位挖矿木马文件的位置，并清除
清除木马

• 从内网DNS服务器、DNS防火墙、流量审计装备等装备获取恶意域名信息，根据域名查询威胁情报确定木马范例。
• 查看系统CPU、内存、网络占用情况，获取异常历程相关信息
• 根据历程名或部门字符串获取历程号或历程相关的命令行命令
• 根据历程号查看由历程运行的线程
• 结束挖矿历程及其守护历程
• 通过挖矿历程的相关信息，定位到文件的具体位置，删除恶意文件
• 查看启动项，假如发现非法开机自启服务项，制止并删除对应数据
• 查看定时使命
• 溯源挖矿木马入侵途径，查找系统毛病，打上对应补丁，完成毛病修复，防止再次入侵

【——全网最全的网络安全学习资料包分享给爱学习的你，关注我，私信回复“资料领取”获取——】
1.网络安全多个方向学习门路
2.全网最全的CTF入门学习资料
3.一线大佬实战经验分享条记
4.网安大厂面试题合集
5.红蓝对抗实战技术秘籍
6.网络安全基础入门、Linux、web安全、渗出测试方面视频

防护发起

• 规范上网行为，不安装来历不明的软件、工具
• 不打开来历不明的文档，以及带有图片、文件夹、文档、音视频等图标的文件
• 举行严酷的隔离，有关系统、服务尽量不要开放到互联网，在内网中的系统也要通过防火墙、VLAN或网闸等举行隔离。对于系统要采取最小化服务的原则，只提供必要的服务无关的服务必须要关闭，同时采取本机防火墙举行访问要举行访问控制
• 及时安装系统补丁，修复系统应用毛病、中心件毛病、组件、插件等相关毛病
• 增强密码策略，增加密码复杂度并举行定期修改，开启相关登录失败处理功能
• 服务器定期维护
常用工具

• ProcessExplorer：能管理隐藏的程序，可监视、挂起、重启、终止程序
• PCHunter：功能强大的系统信息查看软件，PCHunter使用了windows 内核技术

---

模拟攻击（kali—>kali）

1、在攻击机上准备好挖矿木马

使用unzip解压

  解压

解压成功

再次解压

木马准备成功
2、上传木马

假如通过爆破得到对方主机的SSH密码，通过SSH上传挖矿木马 kinsinga.sh
   sftp root@靶机ip
  连接成功后，上传木马：put kinsinga.sh /tmp/kinsinga.sh

上传木马
3、执行挖矿木马

   ssh root@靶机ip // 登录
  chmod +x kinsinga.sh // 赋予权限
  ./kinsinga.sh // 执行木马
  
  

执行木马
查看历程
   ps -ef | grep kin*
  

查看历程
4、查看靶机CPU情况

   top
  

查看靶机CPU情况

---

应急响应——变乱处理

1、查看系统负载，查看CPU情况
命令：top
发现cpu占用率97%，其中占用率最高的是kdevtmpfsi历程，pid为2009

CPU情况
2、查看网络连接情况，发现恶意历程
   netstat -anptl
  发现异常连接，存在可疑ip地址： 91.215.169.111 、 45.89.230.240

3、威胁情报平台上查看可以IP地址的情况
微步在线： https://x.threatbook.cn/
微步情报显示恶意软件、傀儡机、私有矿池等信息

4、通过历程号查看程序执行路径
   pstree –p ：显示历程树
  systemctl status 2009 ：查看历程号 2009 状态
  

   ls -l /proc/2009/cwd
  ls -l /proc/1993/cwd
  发现 2009 历程对应执行文件路径：
   /tmp/kdevtmpfsi
  发现 1993 历程对应执行文件路径：
   /tmp/kinsing.sh
  

5、查看计划使命
   crontab –l
  

查看计划使命
进入计划使命目次查看是否存在隐藏的计划使命
   cd /var/spool/cron/crontabs/
  cat -A root
  

6、日志分析
查看是否具有ssh爆破的行为
   last -f /var/log/wtmp | less
  last -f /var/log/btmp | less
  

日志分析

---

应急响应——变乱克制

定位挖矿木马并查杀
• 杀掉历程： kill 2009 、 kill 1993
• 杀掉这两个历程之后，但是过了几分钟，cpu又爆满，发现挖矿程序再次运行
• 因为该木马还添加了计划使命，必要先删除计划使命，再杀掉恶意历程，最后删除挖矿木马程序

删除计划使命：
   crontab -u root –r
  杀掉历程：
   kill 3805
  kill 3829
  删除挖矿木马：
   rm kdevtmpfsi
  rm kinsinga.sh
  查看 CPU 占用情况

终端安装杀毒软件
使用流量监控装备举行内网流量监控
出口防火墙封堵挖矿地址和IP
清除挖矿木马：
1、阻断矿池地址的连接
2、清除挖矿定时使命、启动项等
3、定位挖矿木马文件位置并删除
应急响应——根除与恢复

增强密码管理
限制对外发的请求
限制对外开放的端口
配置日志相关系统
增加流量监控
增强安全审计工作
增加日常安全检测

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。