挖矿病毒如何制作
Ⅰ 挖矿病毒是一段代码或者一个软件
“挖矿”病毒是一段代码或者一个软件,伪装成一个正常文件进入受害者的电脑。
病毒利用主机或者操作系统的高危漏洞,并结合高级攻击技术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。“挖矿”病毒会消耗大量的计算机处理资源。
Ⅱ 鎸栫熆鐥呮瘨鎬庝箞澶勭悊
鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅锛
1銆佹煡鐪嬫湇鍔″櫒杩涚▼杩愯岀姸鎬佹煡鐪嬫湇鍔″櫒绯荤粺鏁翠綋杩愯屾儏鍐碉紝鍙戠幇鍚嶄负kdevtmpfsi鐨勬寲鐭胯繘绋嬪ぇ閲忓崰鐢ㄧ郴缁烠PU浣跨敤鐜囥
2銆佹煡鐪嬬鍙e強澶栬仈鎯呭喌鏌ョ湅绔鍙e紑鏀剧姸鎬佸強澶栬仈鎯呭喌锛屽彂鐜颁富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼负銆傚硅ュ栭儴鍦板潃杩涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧锛岃繘涓姝ョ‘瀹氳ヨ繘绋嬩负鎭舵剰鎸栫熆杩涚▼锛氬畾浣嶆寲鐭胯繘绋嬪強鍏跺畧鎶よ繘绋婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃绋嬩腑涓嶄粎浼氫骇鐢熻繘绋媖devtmpfsi銆
6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦欢/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆
7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦欢銆
8銆佹煡鐪媠sh鏃ュ織鏂囦欢鏌ョ湅ssh鏃ュ織鏂囦欢锛屽彂鐜板ぇ閲忕櫥闄嗙棔杩逛互鍙婂叕閽ヤ笂浼犵棔杩广
Ⅲ 挖矿病毒
自从比特币火起来以后,运维和安全同学就经常受到挖矿病毒的骚扰,如果有人说机器cpu被莫名其妙的程序占用百分之八十以上,大概率是中了挖矿病毒。
说说挖矿病毒的几个特点:
一、cpu占用高,就是文中一开始所说的,因为挖矿病毒的目的就是为了让机器不停的计算来获利,所以cpu利用率都会很高。
二、进程名非常奇怪,或者隐藏进程名。发现机器异常以后,使用top命令查看,情况好的能看到进程名,名字命名奇怪,我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况,找起来就更加费事了,需要查看具备linux相关的系统知识。
三、杀死后复活,找到进程之后,用kill命令发现很快就会复活,挖矿病毒一般都有守护进程,要杀死守护进程才行。
四、内网环境下,一台机器被感染,传播迅速,很快会感染到其他机器。
挖矿病毒的防御
挖矿病毒最好的防御重在平时安全规范,内网机器不要私自将服务开放到公司,需要走公司的统一接口,统一接口在请求进入到内网之前,会有安全措施,是公司入口的第一道安全门。还有就是公司内网做好隔离,主要是防止一个环境感染病毒,扩散到全网。
对于已经感染的情况,可以通过dns劫持病毒访问的域名,公网出口过滤访问的地址,这些手段是防止病毒扩大的手段,对于已经感染的机器,只能通过开始讲的几种方法找到并杀死病毒了。
Ⅳ Bluehero挖矿病毒
近日,深信服安全团队通过威胁情报的知识图谱系统对BlueHero挖矿病毒活动进行了跟踪与监测。该病毒团伙利用Web RCE漏洞在互联网上传播,传播过程中频繁更换具有英语短语的URL,攻击范围涉及数百个IP地址。病毒在内网传播时同时利用“永恒之蓝”漏洞和弱密码爆破技术,新增了驱动程序等特性。
从流量特征分析,病毒主要利用Apache Struts、WebLogic Server、ThinkPHP5、Drupal等远程代码执行漏洞,针对常见的web端口进行传播。在Windows系统中,病毒通过powershell.exe、certutil.exe等工具从互联网下载并执行样本母体download.exe,存放在C: windows/temp 或%systemroot%/temp等路径。
在样本分析部分,病毒入口点为download.exe,运行后释放文件C:\Users\G4rb3n\AppData\Local\Temp\cnmbd.exe并创建进程。病毒文件为Gh0st远控,具备自复制功能,添加任务计划及服务。病毒通过从C&C服务器下载传播模块lanmktmrm.exe,以及在Corporate、neiulgfnd、UnattendGC等文件夹内包含mimikatz、s扫描器、masscan扫描器、永恒之蓝攻击包等工具进行传播与攻击。
病毒利用了bcbeuy.exe封装的XMRig挖矿程序及WinRing0x64.sys可疑驱动进行传播。WinRing0x64.sys的驱动核心代码表明病毒具有深层次的自动化控制和攻击能力。
深信服安全团队为用户提供了以下防护建议:及时修复漏洞、备份重要数据文件、部署加固软件关闭非必要端口、加强人员安全意识、建立威胁情报分析和对抗体系,以及对全网进行一次安全检查和杀毒扫描。
Ⅳ 【安全研究】DDG挖矿僵尸网络病毒最新变种分析
近期,有客户反馈服务器出现异常卡顿现象,疑似遭受挖矿病毒攻击。通过安全工程师的分析,确定攻击者利用SSH爆破或漏洞攻击进行入侵,执行名为i.sh的shell脚本,导致感染DDG挖矿病毒版本5019和5020。
入侵后,i.sh脚本主要功能为持久化写入定时任务,下载并运行ddgs母体二进制文件,针对32位和64位系统分别执行。5020版本的i.sh脚本下载链接采用域名形式,每次访问时自动随机替换,增加了病毒传播的隐蔽性。
ddg母体作为病毒核心组件,具有自我文件拷贝、下载挖矿进程以及利用漏洞感染其他设备的功能。此次捕获的版本相较于400X版本,在功能上进行了优化,去除了main__backdoor_background和main__backdoor_injectSSHKey两个函数,即移除了特定后门功能。同时,病毒母体整体文件大小的缩减,可能与移除hashicorp的go开源库memberlist有关,更利于病毒的传播。
病毒利用了包括CVE-2017-11610、CVE-2019-7238、redis、SSH在内的漏洞进行远程攻击,但并未新增远程漏洞利用方式。挖矿程序使用xmrig编译,通过main_NewMinerd下载创建挖矿进程,main__minerd_Update进行挖矿程序更新,并调用main__minerd_killOtherMiners清除竞争对手的挖矿木马。
清除DDG病毒母体及挖矿程序的方案包括:清除相关定时任务文件、删除及结束掉DDG母体相关文件和进程、查找并结束挖矿进程等。对于redis、SSH的密码安全、修复Redis、Nexus Repository Manager、Supervisord服务的高危漏洞也是必要的安全措施。
病毒的IOCs包括URL链接,这些链接用于下载ddg病毒的母体和挖矿程序,需密切关注和防护。