官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
一、挖矿木马是啥玩意儿?
这里以比特币为例,所谓“挖矿”就是,将一段时间内比特币系统中发生的交易进行确认,并记录在区块链上,形成新的区块,挖矿的人叫做矿工。简单来说,挖矿就是记账的过程,矿工是记账员,区块链就是版本。比特币系统的记账权利是去中心化的,也就是每个矿工都有记账的权利,只要成功抢到记账权,矿工就能获得系统新生成的比特币奖励。从这个意义上来说,挖矿就是生产比特币的过程。
那么挖矿木马就是攻击者利用各种手段将挖矿程序植入计算机中,利用其计算机的算力进行挖矿,从而获取利益。
二、挖矿木马分析
挖矿木马最大的一个特征就是cpu资源占用非常高,top命令查看cpu情况,可以看出xmr这个进程占用cpu资源很高。
pe -ef查看运行进程,发现tmp下存在可疑文件。
木马执行后释放的文件
木马样本部分截图
获取到木马样本后我们可以借助一些分工具或平台对样本分析。
通过样本分析,此挖矿木马会释放文件到/usr/.work/和tmp下,创建计划任务,向authorized_keys写入自己的key,并发起横向爆破等行为。
三、挖矿木马查杀
将矿池加入黑名单清除释放的文件,删除写入的密钥。
检测是不是占有CPU资源接近100%以上的过程,找到过程对应的文件,确认是不是属于挖掘矿木马,Kill结束木马进程。
检测“/var/spool/cron/root”、“/vat/spool/cron/crontabs/root/”等文件中是不是有恶意的脚本下载命令
四、挖矿木马防护
及时为系统打补丁。避免漏洞攻击。
安装杀毒软件防御挖矿木马攻击。
使用强度高的登录密码以及Web应用、数据库登录密码,防御弱口令爆破攻击。
不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件。