码迷,mamicode.com
首页 > 其他好文 > 详细

教你检测门罗币挖矿木马

时间:2017-12-04 21:22:10      阅读:2591      评论:0      收藏:0      [点我收藏+]

标签:很多   tps   病毒   显卡   系统   在线   命令   php   https   

MS016小组(原创)

前言:

随着比特币的成功,越来越多的山寨币开始模仿.

因为有些人,在比特币刚开始的时候,感觉不靠谱 错失了挣钱的良机.

所以现在很多人后悔了 , 就开始寄托于别的币  , 所以有些人投入机器挖矿.

而黑客呢 掌握技术 也等同于掌握机器!也不是所有机器都能挖矿的 ,

当然以黑客的视角去思考问题,一般的黑客都是通过.

技术分享图片

这里有张流程图 ,根据爆出来的已知漏洞 而且危害很高的 比如ST – 045 

等等 , 而且像苹果系统mac os 也能挖矿  linux挖矿比window挖矿更加稳定,

我讲的是门罗币,  还有检测的话方法也是检查Windows系统.

 

说完系统当然是讲挖矿的配置,

一般黑客入侵完服务器后植入的挖矿木马,都是以静默包的 形式 运行.

 

什么是静默包 百度的

静默安装指是在后台运行 自动安装,安装时无需任何用户干预,直接按默认设置安装。

静默安装的过程是看不到的(隐藏安装,看不见的)。运行了就在后台安装,隐藏了非可视化。

静默包一般是在软件捆绑以及预装推荐等类型上,这样可以实现很多用户勾选选择推荐安装的软件后,可以自动化的安装。

 

也许有些挖矿木马,  有这一项功能 就是检测显卡 CPU挖矿.

如果显卡满足条件就挖显卡, 如果没显卡就利用CPU挖矿.

但是现在很多服务器都是不会有显卡的  ,基本黑客拿完服务器利用CPU挖矿.

显卡卖的很贵现在 服务器上出现基本是很少  ,显卡类型有N卡 和A卡 .

所以二种显卡也需要区分去使用,说完了黑客基本攻击流程 所以开始讲怎么检测了.

 

技术分享图片

如果你是运维人员,  发现自己服务器非常卡 ,运行缓慢八成被植入了挖矿木马 .

 

1.第一时间分析系统是不是存在什么漏洞,而且你不需要当心被零日漏洞攻击  !   大多数都是已知漏洞 或者爆破工具,拿下的服务器 ,所以可以去查询最近相关爆出的危害教大的漏洞 ,而且和自己服务器使用的一些组件 有关的。

 

2.第二就是查找挖矿木马 ,找挖矿木马钱包地址.

可以讲一下案例 ,为了获取样本分析 使用了tomcat 和 java rmi 漏洞 扫描全球网络。

发现了很多被入侵的机器当然也获取了样本分析. 

技术分享图片

 

这是在被黑服务器提取的挖矿木马  用哈勃 动态分析 一下 运行会有那些行为特征

 

技术分享图片

技术分享图片

创建文件csrss.exe 文件  ,csrss.exe  文件是Windows系统核心进程  ,也是被木马经常利用的进程

而且木马有守护进程  结束的话系统会关机 或者挖矿木马自动恢复挖矿.

技术分享图片

技术分享图片

执行CmdShell命令 运行 挖矿程序,这段cmd命令就是调用挖矿程序csrss.exe文件 开始挖的.

Csrss.exe 文件就是门罗币挖矿程序 只是这个文件名定义成了 Csrss.

黑客钱包地址

46xzbEFicggME8PBfwPnwuHbtk2UQY6xmMjAs3MHvLEmSyTnBv3BQTdYZ5Nfw5qLGbZmvTH4rZMXZF6rYNjgfAABSm9FaYT

矿池地址   minexmr.com

技术分享图片

在这个矿池查看 算力 和支付纪录 惊人!

 3.分析完 挖矿木马当然是 如果种了 挖矿木马怎么查杀,

刚才使用哈勃分析了木马 的行为特征,

然后使用杀毒软件查杀 ,看看是否杀毒软件把挖矿木马特征码加入了病毒库.

技术分享图片

使用火绒查杀挖矿木马  并且免杀

技术分享图片

然后利用在线检测  只有三种杀毒软件检测到了木马

技术分享图片

打开运行挖矿木马 有杀毒软件也不一定能有效拦截,

而且随着研究 还有一些黑客  使用了不同的挖矿方法.

附上挖矿木马分析地址

哈勃 https://habo.qq.com/file/showdetail?pk=ADMGZ11oB2YIMFs7#file

virscan http://r.virscan.org/report/5497aaf5d4e3e0246f2e00f8e0495a97

  感谢刀仔的技术支持

教你检测门罗币挖矿木马

标签:很多   tps   病毒   显卡   系统   在线   命令   php   https   

原文地址:http://www.cnblogs.com/ms016/p/7978880.html

(1)
(1)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!