挖礦病毒如何製作
Ⅰ 挖礦病毒是一段代碼或者一個軟體
「挖礦」病毒是一段代碼或者一個軟體,偽裝成一個正常文件進入受害者的電腦。
病毒利用主機或者操作系統的高危漏洞,並結合高級攻擊技術在區域網內傳播,控制電腦進行大量的計算機運算來獲取虛擬貨幣。「挖礦」病毒會消耗大量的計算機處理資源。
Ⅱ 鎸栫熆鐥呮瘨鎬庝箞澶勭悊
鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅錛
1銆佹煡鐪嬫湇鍔″櫒榪涚▼榪愯岀姸鎬佹煡鐪嬫湇鍔″櫒緋葷粺鏁翠綋榪愯屾儏鍐碉紝鍙戠幇鍚嶄負kdevtmpfsi鐨勬寲鐭胯繘紼嬪ぇ閲忓崰鐢ㄧ郴緇烠PU浣跨敤鐜囥
2銆佹煡鐪嬬鍙e強澶栬仈鎯呭喌鏌ョ湅絝鍙e紑鏀劇姸鎬佸強澶栬仈鎯呭喌錛屽彂鐜頒富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼負銆傚硅ュ栭儴鍦板潃榪涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧錛岃繘涓姝ョ『瀹氳ヨ繘紼嬩負鎮舵剰鎸栫熆榪涚▼錛氬畾浣嶆寲鐭胯繘紼嬪強鍏跺畧鎶よ繘紼婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃紼嬩腑涓嶄粎浼氫駭鐢熻繘紼媖devtmpfsi銆
6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦歡/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆
7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦歡銆
8銆佹煡鐪媠sh鏃ュ織鏂囦歡鏌ョ湅ssh鏃ュ織鏂囦歡錛屽彂鐜板ぇ閲忕櫥闄嗙棔榪逛互鍙婂叕閽ヤ笂浼犵棔榪廣
Ⅲ 挖礦病毒
自從比特幣火起來以後,運維和安全同學就經常受到挖礦病毒的騷擾,如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上,大概率是中了挖礦病毒。
說說挖礦病毒的幾個特點:
一、cpu佔用高,就是文中一開始所說的,因為挖礦病毒的目的就是為了讓機器不停的計算來獲利,所以cpu利用率都會很高。
二、進程名非常奇怪,或者隱藏進程名。發現機器異常以後,使用top命令查看,情況好的能看到進程名,名字命名奇怪,我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況,找起來就更加費事了,需要查看具備linux相關的系統知識。
三、殺死後復活,找到進程之後,用kill命令發現很快就會復活,挖礦病毒一般都有守護進程,要殺死守護進程才行。
四、內網環境下,一台機器被感染,傳播迅速,很快會感染到其他機器。
挖礦病毒的防禦
挖礦病毒最好的防禦重在平時安全規范,內網機器不要私自將服務開放到公司,需要走公司的統一介面,統一介面在請求進入到內網之前,會有安全措施,是公司入口的第一道安全門。還有就是公司內網做好隔離,主要是防止一個環境感染病毒,擴散到全網。
對於已經感染的情況,可以通過dns劫持病毒訪問的域名,公網出口過濾訪問的地址,這些手段是防止病毒擴大的手段,對於已經感染的機器,只能通過開始講的幾種方法找到並殺死病毒了。
Ⅳ Bluehero挖礦病毒
近日,深信服安全團隊通過威脅情報的知識圖譜系統對BlueHero挖礦病毒活動進行了跟蹤與監測。該病毒團伙利用Web RCE漏洞在互聯網上傳播,傳播過程中頻繁更換具有英語短語的URL,攻擊范圍涉及數百個IP地址。病毒在內網傳播時同時利用「永恆之藍」漏洞和弱密碼爆破技術,新增了驅動程序等特性。
從流量特徵分析,病毒主要利用Apache Struts、WebLogic Server、ThinkPHP5、Drupal等遠程代碼執行漏洞,針對常見的web埠進行傳播。在Windows系統中,病毒通過powershell.exe、certutil.exe等工具從互聯網下載並執行樣本母體download.exe,存放在C: windows/temp 或%systemroot%/temp等路徑。
在樣本分析部分,病毒入口點為download.exe,運行後釋放文件C:\Users\G4rb3n\AppData\Local\Temp\cnmbd.exe並創建進程。病毒文件為Gh0st遠控,具備自復制功能,添加任務計劃及服務。病毒通過從C&C伺服器下載傳播模塊lanmktmrm.exe,以及在Corporate、neiulgfnd、UnattendGC等文件夾內包含mimikatz、s掃描器、masscan掃描器、永恆之藍攻擊包等工具進行傳播與攻擊。
病毒利用了bcbeuy.exe封裝的XMRig挖礦程序及WinRing0x64.sys可疑驅動進行傳播。WinRing0x64.sys的驅動核心代碼表明病毒具有深層次的自動化控制和攻擊能力。
深信服安全團隊為用戶提供了以下防護建議:及時修復漏洞、備份重要數據文件、部署加固軟體關閉非必要埠、加強人員安全意識、建立威脅情報分析和對抗體系,以及對全網進行一次安全檢查和殺毒掃描。
Ⅳ 【安全研究】DDG挖礦僵屍網路病毒最新變種分析
近期,有客戶反饋伺服器出現異常卡頓現象,疑似遭受挖礦病毒攻擊。通過安全工程師的分析,確定攻擊者利用SSH爆破或漏洞攻擊進行入侵,執行名為i.sh的shell腳本,導致感染DDG挖礦病毒版本5019和5020。
入侵後,i.sh腳本主要功能為持久化寫入定時任務,下載並運行ddgs母體二進制文件,針對32位和64位系統分別執行。5020版本的i.sh腳本下載鏈接採用域名形式,每次訪問時自動隨機替換,增加了病毒傳播的隱蔽性。
ddg母體作為病毒核心組件,具有自我文件拷貝、下載挖礦進程以及利用漏洞感染其他設備的功能。此次捕獲的版本相較於400X版本,在功能上進行了優化,去除了main__backdoor_background和main__backdoor_injectSSHKey兩個函數,即移除了特定後門功能。同時,病毒母體整體文件大小的縮減,可能與移除hashicorp的go開源庫memberlist有關,更利於病毒的傳播。
病毒利用了包括CVE-2017-11610、CVE-2019-7238、redis、SSH在內的漏洞進行遠程攻擊,但並未新增遠程漏洞利用方式。挖礦程序使用xmrig編譯,通過main_NewMinerd下載創建挖礦進程,main__minerd_Update進行挖礦程序更新,並調用main__minerd_killOtherMiners清除競爭對手的挖礦木馬。
清除DDG病毒母體及挖礦程序的方案包括:清除相關定時任務文件、刪除及結束掉DDG母體相關文件和進程、查找並結束挖礦進程等。對於redis、SSH的密碼安全、修復Redis、Nexus Repository Manager、Supervisord服務的高危漏洞也是必要的安全措施。
病毒的IOCs包括URL鏈接,這些鏈接用於下載ddg病毒的母體和挖礦程序,需密切關注和防護。