PART 1
点击上方蓝字关注我们
感谢您的阅读, 在这篇文章中,您将学到以下知识点:
-
全方位了解挖矿病毒的技术特征、目的和黑产的关联。
-
挖矿病毒为什么能轻易进入内部网络或个人电脑。
-
挖矿病毒逆向分析过程及更高级的逆向分析技术引荐。
-
挖矿病毒防御方法。
背景
最近在内部网络接收到好几个严重告警, 有IP试图连接到境外服务器, 其中就包括一台使用中的装有Windows系统的服务器, 当即进行断网处理, 并最终定位到一个名为explorer.exe可疑程序。explorer.exe大家并不陌生, 莫非是Windows资源管理器被感染了?, 复制了一个样本扔到虚拟机, 果然伪装的人模狗样的,如图:
后面随即对该病毒展开了一次快速的逆向分析。
什么是挖矿病毒
挖矿病毒是一种恶意软件,它会感染计算机系统,并利用系统资源(如 CPU 或 GPU)来进行加密货币挖矿,而不经用户许可。这种病毒会使计算机变得缓慢,并可能导致系统崩溃或其他问题。挖矿病毒通常会隐藏在下载的文件、恶意链接或被感染的软件中,并在用户不知情的情况下运行。一旦感染了计算机系统,它们会默默地执行挖矿操作,将挖到的加密货币发送到攻击者控制的账户。
挖矿病毒通常具备以下技术特征:
-
高 CPU 或 GPU 使用率:挖矿恶意程序会利用计算机的处理器或图形处理器来进行加密货币挖矿,导致系统资源占用率异常高。
-
持续运行:这些程序通常会在后台持续运行,即使用户关闭了相关的应用程序也是如此。
-
自启动:它们可能会在系统启动时自动启动,并在后台持续运行,以确保持续挖矿。
-
隐藏性:挖矿恶意程序通常会试图隐藏其存在,以避免被用户发现,可能会修改系统文件或进程名称。
-
利用漏洞或安全漏洞:这些程序可能会利用系统或网络上的已知漏洞,以便远程入侵并安装挖矿程序。
-
网络通信:挖矿程序通常会与远程服务器进行通信,以接收指令或向攻击者发送挖到的加密货币。
-
定期更新:攻击者可能会定期更新挖矿程序,以适应新的环境或修复已知的漏洞。
-
免杀技术:为了避免被杀毒软件或安全工具检测到,挖矿程序可能会使用各种免杀技术,如加密、混淆代码等。
挖矿病毒与黑产的关联
挖矿病毒与黑产之间存在密切的关联。黑产是指非法的、以盈利为目的的互联网犯罪活动,而挖矿病毒通常是黑产活动的一部分。
通常挖矿病毒与以下几个黑产活动有关:
-
加密货币盈利:挖矿病毒的主要目的是利用受感染的计算机资源来挖取加密货币,如比特币、以太坊等。这些加密货币可以用于非法交易、洗钱等黑产活动。
-
租赁挖矿服务:黑产分子可能会开发挖矿病毒,并将其作为一种服务进行租赁。他们会租用大量感染了挖矿病毒的计算机网络,以获取更多的挖矿能力,并从中获得利润。
-
加密货币洗钱:黑产分子可能会利用挖矿病毒挖到的加密货币进行洗钱。他们可以通过交易所或其他方式将非法获得的加密货币转换为现金或其他形式的资产,以掩盖其非法来源。
-
金融勒索:挖矿病毒的传播和感染可能会被黑产分子利用作为金融勒索的一种手段。他们可能会利用挖矿病毒威胁受害者,要求支付赎金以清除感染或停止挖矿。
-
网络攻击:黑产分子可能会利用挖矿病毒作为网络攻击的一部分,以实施更广泛的黑客活动,如入侵网络、窃取个人信息等。
挖矿病毒为什么容易传播
对于大多数挖矿病毒, 有以下几个主要因素:
-
漏洞利用: 许多挖矿病毒利用操作系统或应用程序的已知漏洞来入侵系统。如果用户没有及时安装安全更新和补丁,这些漏洞就会暴露出来,为挖矿病毒提供了入侵的机会。
-
社会工程和钓鱼攻击: 挖矿病毒可能会通过钓鱼邮件、恶意链接或下载的文件等方式进行传播。社会工程技术可以欺骗用户点击恶意链接或下载附件,从而使挖矿病毒轻易地进入用户的个人电脑或内部网络。
-
未经授权的访问: 内部网络或个人电脑可能存在未经授权的访问漏洞,使得攻击者可以通过远程桌面、弱密码或默认凭据等方式轻易地进入系统,并安装挖矿病毒。
-
恶意软件传播: 挖矿病毒可能会利用其他恶意软件作为传播载体,通过感染其他系统或设备来快速传播。例如,通过勒索软件、木马或蠕虫等恶意软件的传播,使得挖矿病毒能够迅速扩散到更多的内部网络或个人电脑。
-
未加固的网络边界: 如果内部网络的边界安全措施不足,例如防火墙、入侵检测系统等防护措施没有得到有效部署,那么攻击者就有更多的机会轻易地进入内部网络,并在其中部署挖矿病毒。
除此之外, 我还见过一种挖矿病毒, 会不断维护和更新一个庞大的默认密码库, 当挖矿病毒攻陷目标电脑后, 会使用键盘记录功能记录键盘按键信息, 从而收集到很多公司内部网络员工输入的服务器默认登录密码, 病毒会将这些密码收集到密码库, 从而利用这些密码直接默认通过SSH登录尝试, 犹如无人之境。
挖矿病毒简单逆向分析
在虚拟机中执行explorer.exe后, 它会在 /Windows/Fonts/ 目录中释放恶意文件,包括主加密挖掘程序文件、包含启动挖掘过程的恶意命令的批处理文件以及两个注册表文件,其注册表子项和值稍后将被插入到系统注册表使用regedit.exe。
释放的恶意文件包括:
-
svchost.exe
-
1.bat
-
server.reg
-
restart.reg
然后它生成Windows命令解释器来执行批处理文件, 如图:
同时,它还运行attrib命令,将整个%fonts%目录的属性设置为只读(+r)和存档(+a),如图:
与此同时,1.bat文件包含以下命令:
该命令安装并运行一个加密货币挖矿程序,使用指定的挖矿池地址、端口和xmr钱包地址。然后,它使用regedit.exe安装两个.reg文件的内容到系统注册表中。接下来,它删除这些注册表文件,并继续更改多个组件文件的属性。如图:
以上是对该挖矿病毒程序的简单逆向分析, 如果要进行更高级的逆向分析, 甚至可以还原出病毒的关键加密算法或源码, 感兴趣的可以参考这篇文章:国外某地图APP坐标系加解密算法还原
挖矿病毒防御
挖矿病毒防御必须要结合规章制度和技术双结合的方式来进行,具体包括:
-
安全意识培训:必须定期进行安全意识培训, 否则再好的安全产品也是白搭。
-
安全软件和防病毒软件:使用更新的安全软件和防病毒软件可以帮助检测和清除挖矿病毒。确保安全软件的病毒库和特征库处于最新状态,以提高检测率。
-
定期系统扫描:定期对计算机系统进行全面扫描,以检测和清除潜在的挖矿病毒和其他恶意软件。
-
网络流量监控:监控网络流量,特别是不寻常的大量流量或与挖矿相关的通信模式,可以帮助及早发现挖矿活动。
-
强化网络安全:使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等技术来阻止挖矿病毒的传播和通信。
-
安全更新和漏洞修补:及时安装操作系统和应用程序的安全更新和补丁,以修复已知漏洞,减少挖矿病毒利用漏洞的机会。
-
网络访问控制:限制对关键系统和服务的访问权限,减少挖矿病毒入侵的可能性。
-
行为监控和异常检测:使用行为监控和异常检测技术,监视系统和应用程序的行为,及时发现不寻常的活动并采取措施应对。
-
加密货币挖矿检测工具:使用专门的挖矿检测工具,监视系统资源使用情况,及时发现并阻止挖矿病毒的活动。
-
密钥审计和权限管理:定期审计和管理系统的密钥和权限,限制对敏感数据和系统资源的访问权限,减少挖矿病毒的影响范围。
点个在看你最好看
东 WHAT HAPPENED IN MAY 西
原文始发于微信公众号(二进制空间安全):好险!服务器差点成为境外黑产的矿场
