火线安全软件百万挖矿
① 局域网内被种挖矿病毒,怎么查找病毒来源主机是哪一台
有以下几种方法:
在局域网中选部分电脑部署软件防火墙,然后通过防火墙拦截记录就能发现病毒源主机。这种适合小规模局域网。
使用专杀工具进行挨个主机杀毒,为防止病毒流窜,只开一台电脑进行杀毒,查杀完毕后立马关机,再开另一台进行杀毒。工作量比较大。
部署企业版杀毒软件,如火绒等。如需要,我可以帮你申请三个月免费试用。当然也可以自己去官网申请。
暂时就想到这么多,希望对你有用。
② 根据火绒查杀数据发现 挖矿病毒的套路都在这里
随着虚拟货币的兴起,企业成为挖矿病毒肆虐的主要目标,据统计,今年上半年火绒服务的企业用户中,挖矿病毒问题占比高达28%,成为头号威胁。这种病毒之所以如此猖獗,关键在于其多样化的传播途径,如漏洞、弱口令、软件捆绑等,企业内部的安全隐患和员工行为都可能成为病毒入侵的缺口。
挖矿病毒不仅自身携带挖矿模块,还可能携带蠕虫模块,通过企业内部网络的漏洞迅速传播。它们通过伪装和隐藏技术,即使被发现也难以清除,长期占用系统资源,对终端性能和企业业务造成严重影响。
火绒的持续更新和升级,如对“驱动人生”等病毒的追踪,使得企业面对不同变种的挑战增大。为对抗挖矿病毒,企业除了提升员工安全意识,还需借助火绒等专业安全软件,如火绒的软件安装拦截和网络入侵拦截功能,有效防护。
针对常见的五类企业挖矿病毒,火绒提供了详细的特征、检测方法和处理建议,例如DTStealer会窃取信息并传播,WannaMine通过445端口传播,隐匿者(MyKings)感染MBR等。企业管理员可根据这些信息及时排查和处理,如遇到不确定的情况,火绒的安全分析服务也可提供支持。
安全建议包括定期部署火绒进行查杀,排查和限制高风险端口,谨慎使用可能携带病毒的工具,以及在遇到安全问题时寻求火绒的专业协助。火绒的报告揭示了病毒团伙的最新动态,提醒企业持续关注并加强防护。
③ 挖矿病毒持续活跃,通过 ssh "强行" 登录
近期,火绒安全实验室接收用户反馈,电脑出现异常运行。经排查,异常原因系挖矿病毒事件造成。该病毒为名为xbash的恶意脚本,属于Coinminer家族,自去年以来大规模传播,近期活动频繁,国内主要以投放的xmrig挖矿病毒变种libgcc_a闻名。此病毒通过SSH口令爆破手段获取初始访问权限,运用多种技术手段,包括预加载劫持、杀软对抗、流量代理和内网横向等,进行运行、隐藏和传播。
病毒起始样本是一个xbash脚本文件,使用Makeself打包工具,包含一个名为cronman的主引导脚本。其主要行为包括下载payload、持久化、清除痕迹、清除杀软、内网代理、内网横向、运行挖矿程序等。具体步骤如下:首先通过run_cmd函数执行安装xinetd守护进程,用于后续配置代理转发服务,下载payload。调用clean函数清理杀毒软件及其它挖矿程序,通过终止进程、停止服务、删除自保护驱动、调用自带的卸载脚本等操作,移除安全软件并终止同类挖矿程序。依据SKIPUPDATE变量值和data文件进行配置更新,通过get_remote_file函数下载文件并写入计划任务中实现自启动。修改/etc/ld.so.preload内容以劫持程序启动后加载的动态库实现hook行为,通过下载开源网络探测工具spirit实现内网横向移动。
病毒还通过检查iptables、firewalld安装情况并开放特定端口,修改SSH配置文件实现持久化,并通过下载开源网络探测工具spirit,通过crontab命令创建周期任务来执行ssh爆破,实现内网横向移动。病毒下载的程序xfitaarch.sh、xfit.sh,为xmrig挖矿程序变种,清除系统日志和历史记录,消除痕迹。
病毒脚本中存在预加载劫持,对相关库进行逆向分析发现,sshkit.so库文件会hook掉readdir函数,获取原始返回结果并过滤掉ssh进程文件,pkit.so隐藏libgcc_a,skit.so隐藏spirit,sshpkit.so隐藏sshpass。readdir函数是c语言libc库在用户层提供用于读取目录内容的函数,hook readdir函数间接hook了使用getdents64函数的命令,包括常用的ls、ps、top命令等。病毒隐藏的进程spirit.sh是一个开源渗透测试工具,用于linux下内网主机存活探测及横向移动。另一个隐藏程序libgcc_a是XMrig挖矿程序变种,用于挖矿牟利。
火绒安全产品已支持拦截和查杀此类病毒,请广大用户及时更新病毒库以提高防御能力。
HASH:
C&C: