火線安全軟體百萬挖礦
① 區域網內被種挖礦病毒,怎麼查找病毒來源主機是哪一台
有以下幾種方法:
在區域網中選部分電腦部署軟體防火牆,然後通過防火牆攔截記錄就能發現病毒源主機。這種適合小規模區域網。
使用專殺工具進行挨個主機殺毒,為防止病毒流竄,只開一台電腦進行殺毒,查殺完畢後立馬關機,再開另一台進行殺毒。工作量比較大。
部署企業版殺毒軟體,如火絨等。如需要,我可以幫你申請三個月免費試用。當然也可以自己去官網申請。
暫時就想到這么多,希望對你有用。
② 根據火絨查殺數據發現 挖礦病毒的套路都在這里
隨著虛擬貨幣的興起,企業成為挖礦病毒肆虐的主要目標,據統計,今年上半年火絨服務的企業用戶中,挖礦病毒問題佔比高達28%,成為頭號威脅。這種病毒之所以如此猖獗,關鍵在於其多樣化的傳播途徑,如漏洞、弱口令、軟體捆綁等,企業內部的安全隱患和員工行為都可能成為病毒入侵的缺口。
挖礦病毒不僅自身攜帶挖礦模塊,還可能攜帶蠕蟲模塊,通過企業內部網路的漏洞迅速傳播。它們通過偽裝和隱藏技術,即使被發現也難以清除,長期佔用系統資源,對終端性能和企業業務造成嚴重影響。
火絨的持續更新和升級,如對「驅動人生」等病毒的追蹤,使得企業面對不同變種的挑戰增大。為對抗挖礦病毒,企業除了提升員工安全意識,還需藉助火絨等專業安全軟體,如火絨的軟體安裝攔截和網路入侵攔截功能,有效防護。
針對常見的五類企業挖礦病毒,火絨提供了詳細的特徵、檢測方法和處理建議,例如DTStealer會竊取信息並傳播,WannaMine通過445埠傳播,隱匿者(MyKings)感染MBR等。企業管理員可根據這些信息及時排查和處理,如遇到不確定的情況,火絨的安全分析服務也可提供支持。
安全建議包括定期部署火絨進行查殺,排查和限制高風險埠,謹慎使用可能攜帶病毒的工具,以及在遇到安全問題時尋求火絨的專業協助。火絨的報告揭示了病毒團伙的最新動態,提醒企業持續關注並加強防護。
③ 挖礦病毒持續活躍,通過 ssh "強行" 登錄
近期,火絨安全實驗室接收用戶反饋,電腦出現異常運行。經排查,異常原因系挖礦病毒事件造成。該病毒為名為xbash的惡意腳本,屬於Coinminer家族,自去年以來大規模傳播,近期活動頻繁,國內主要以投放的xmrig挖礦病毒變種libgcc_a聞名。此病毒通過SSH口令爆破手段獲取初始訪問許可權,運用多種技術手段,包括預載入劫持、殺軟對抗、流量代理和內網橫向等,進行運行、隱藏和傳播。
病毒起始樣本是一個xbash腳本文件,使用Makeself打包工具,包含一個名為cronman的主引導腳本。其主要行為包括下載payload、持久化、清除痕跡、清除殺軟、內網代理、內網橫向、運行挖礦程序等。具體步驟如下:首先通過run_cmd函數執行安裝xinetd守護進程,用於後續配置代理轉發服務,下載payload。調用clean函數清理殺毒軟體及其它挖礦程序,通過終止進程、停止服務、刪除自保護驅動、調用自帶的卸載腳本等操作,移除安全軟體並終止同類挖礦程序。依據SKIPUPDATE變數值和data文件進行配置更新,通過get_remote_file函數下載文件並寫入計劃任務中實現自啟動。修改/etc/ld.so.preload內容以劫持程序啟動後載入的動態庫實現hook行為,通過下載開源網路探測工具spirit實現內網橫向移動。
病毒還通過檢查iptables、firewalld安裝情況並開放特定埠,修改SSH配置文件實現持久化,並通過下載開源網路探測工具spirit,通過crontab命令創建周期任務來執行ssh爆破,實現內網橫向移動。病毒下載的程序xfitaarch.sh、xfit.sh,為xmrig挖礦程序變種,清除系統日誌和歷史記錄,消除痕跡。
病毒腳本中存在預載入劫持,對相關庫進行逆向分析發現,sshkit.so庫文件會hook掉readdir函數,獲取原始返回結果並過濾掉ssh進程文件,pkit.so隱藏libgcc_a,skit.so隱藏spirit,sshpkit.so隱藏sshpass。readdir函數是c語言libc庫在用戶層提供用於讀取目錄內容的函數,hook readdir函數間接hook了使用getdents64函數的命令,包括常用的ls、ps、top命令等。病毒隱藏的進程spirit.sh是一個開源滲透測試工具,用於linux下內網主機存活探測及橫向移動。另一個隱藏程序libgcc_a是XMrig挖礦程序變種,用於挖礦牟利。
火絨安全產品已支持攔截和查殺此類病毒,請廣大用戶及時更新病毒庫以提高防禦能力。
HASH:
C&C: