挖礦木馬的應急響應

挖礦木馬簡介

---

---

隨着區塊鏈的火爆，各類虛擬貨幣的行情一路走高，不乏有人像炒房炒股同樣，經過包括大名鼎鼎的比特幣在內的各類虛擬貨幣發家致富，讓人眼饞。在這種狀況下，黑客怎麼會放過這麼賺錢的機會呢。你們都知道，獲取虛擬貨幣除了買賣還有就挖礦，挖礦實際上是經過計算機作一些複雜的運算去算出尚未歸屬的虛擬貨幣節點，並通告這樣就歸屬了本身。可是這種挖礦行爲須要極高的計算能力和計算資源，黑客們紛紛編寫挖礦木馬，經過感染別人的機器，消耗其性能來爲本身挖礦獲利。

礦馬的傳播方式

---

---

電子郵件附件感染方式

---

相似通常cc類木馬的投遞方式，不在作詳細贅述，雖然通常服務器的性能都高於我的主機，可是挖礦多采用GPU顯卡挖礦，服務器通常卻不安裝顯卡，致使我的主機也是重要的感人目標。

頁面感染方式

---

首先須要攻擊一些大流量站點的CDN或者服務器，對其大訪問量頁面中嵌入挖礦代碼，只要你訪問這個頁面，那麼你的瀏覽器就會執行富文本的挖礦腳本，

利用漏洞感染的方式

---

已經發現了不少利用能夠控制機器的漏洞來感染挖礦木馬的行爲，好比redis未受權訪問拿shell和ms17-010來傳播挖礦木馬的。

引誘下載或借用人工傳播運行類

相似於王者榮耀做弊器等等再QQ羣中傳播或掛在網上行下載，其本質是個礦馬等等。

礦馬的運行

---

---

最大的運行特色是資源消耗，感受CPU很高、佔用內存很高，我的主機會感受卡頓，服務器會影響服務質量，監控數據指標等等。同時一些漏洞的利用過程也會產生告警，還有礦池地址等等IOC數據的訪問也能夠幫助判斷。
總結以下，發現礦馬的檢測手法：

• CPU、GPU、內存告警
• 相關漏洞利用告警
• HIDS礦馬告警
• IOC告警

礦馬樣本的提取

---

---

• 結合IOC或者netstat看起來不對的鏈接判斷進程：netstat -abo | findstr "xxxxx" 或者 netstat -abo | grep "xxxxxxx"
• 使用終端安全軟件或者殺毒告警日誌來提取
• 使用日誌分析進程啓動發現的異常進程，獲取路徑

礦馬的網絡流量特色

---

---

若是不熟悉的jsonrpc的人，請先了解下jsonrpc：json-rpc是基於json的跨語言遠程調用協議，在礦馬中常見，轉16進制後是：6a736f6e727063，在礦馬的網絡通訊流量裏面通常都會出現這個payload串。

礦馬的查殺和過後修復

---

---

使用通常的殺毒軟件便可，沒有很難查殺，可是其傳染途徑是值得注意的，若是是認爲因素，則須要進行安全教育，若是存在各類漏洞，須要及時修復漏洞才能避免繼續中招。

補充說明

---

---

須要二進制分析的人員，對樣本做分析，這是提取樣本後確認樣本分類、行爲、危害的最佳依據和實踐。