虚拟货币挖矿指令

2023-04-27 14:52:19 币百科阅读 0

Bitget下载

注册下载Bitget下载，邀请好友，即有机会赢取 3,000 USDT

APP下载官网注册

安天捕风团队

1. 概述

近几年全球比特币市场一路走高催生出了一大批“矿工”。与此同时，黑客使用非法的网络手段进行挖矿。近期追踪到利用FTP服务器进行传播挖矿的蠕虫病毒。

2. 样本信息

类型	文件
名称	Photo.scr
大小	1.53Mb
格式	pe
MD5	BEF104BEAC03466E3C73761223941C65
壳	None
恶意判定	yes
病毒类型	malware
病毒名	Trojan[RAT]/Win32.Tepfer.ah

3. 样本详细分析

该病毒利用FTP服务进行传播，尝试连接控制服务器，进行虚拟货币挖掘的蠕虫僵尸网络，大量入侵网络FTP服务器，并呈迅速爆发趋势，该病毒具有典型蠕虫特征，感染后将尝试连接控制服务器，接收更新、接收控制指令、下载虚拟货币挖矿程序；病毒向磁盘大量写入名称为“photo.scr”的母体，感染本地html、php、aspx等网页文件，嵌入恶意代码，用户访问该网站时，尝试被动传播；并利用字典，主动向网络中的匿名弱口令FTP服务器写入病毒文件，激活感染。

FTP掘金僵尸分析与防护方案

图 1 感染文件类型

FTP掘金僵尸分析与防护方案

图2 插入网页

开始对网络中的FTP服务器进行攻击，会对其进行爆破。一旦成功登录尝试，恶意软件的副本被上传到每个可写服务器。此时，能够呈现给用户（例如HTML，PHP和aspx文件）的每个文件都被photo.scr字符串感染。在这个阶段，渲染页面将导致一个易受攻击的浏览器作为下载。若用户打开该类文件会受到感染并进行安装挖矿软件。会将目标服务器的ip，凭据和受感染文件列表将发送到恶意软件的后端服务器。有了这些信息，攻击者可以稍后登录到受感染的FTP服务器，感染更多文件并使受害全体进一步扩大。

FTP掘金僵尸分析与防护方案

图3 爆破使用的用户名和密码

挖矿过程如下：

1) photo.scr将自身通过xcpoy命令复制到每一个磁盘的根目录下. 每5秒执行一次复制自身的命令:

FTP掘金僵尸分析与防护方案

图4

FTP掘金僵尸分析与防护方案

图5在虚拟机无法运行

FTP掘金僵尸分析与防护方案

图6 沙箱运行结果

2) 从 http://stafftest.ru/test.html?0 的div里下载矿机配置文件.

FTP掘金僵尸分析与防护方案

图7

3) 然后从 http://u.lduxnfz.com/tt/ei.js 解密数据.

FTP掘金僵尸分析与防护方案

图8

4) 将解密的数据放到 %Temp% 文件夹下, 文件名为 pools.txt,

C:\Users\Administrator\AppData\Local\Temp\pools.txt, 这个pools.txt的内容如下:

stratum+tcp://mine.moneropool.com:3333

stratum+tcp://monero.crypto-pool.fr:3333

stratum+tcp://xmr.prohash.NET:7777

stratum+tcp://pool.minexmr.com:5555

这四个地址是矿池的地址。

5)并在同目录下下载生成 NsCPUCNMiner32.exe文件, 或者NsCPUCNMiner64.exe, 并通过从 http://stafftest.ru/test.html?0 获取到的参数开始运行. 比如:

C:\Users\Administrator\AppData\Local\Temp\NsCpuCNMiner32.exe-dbg -1 -ostratum+tcp://mine.moneropool.com:3333 -t1u4Ahxep5d8sdfVfN4XGPTQyUSpLm7gKqYvgqGzxf5raLLZAHQ7dn2oBzYdFCB3M3Gfz74CJQAs7DSMiNFvD1ykAbgSiAzCd4 -p x

这样你的计算机就会沦为挖矿工具，严重消耗cpu和显卡。

4. 解决方案

中毒后解决方法

1) 安装杀毒软件，全盘查杀病毒。

2) 对已感染病毒的网页服务器，可使用文本批量替换工具，删除网页文件中被植入的恶意代码(有photo.scr特征)。

3) 网络监测病毒域名解析行为，对病毒利用域名进行解析的主机，极大可能感染该家族蠕虫病毒。可以对以下几个域名进行重点关注：stafftest.ru（176.126.84.24）hrtests.ru、profetest.ru、testpsy.ru、pstests.ru、qptest.ru、jobtests.ru、iqtesti.ru、managtest.ru、testworks.ru。

4.2 防御措施

1)关闭所有FTP服务匿名访问，修改弱口令账号，已知该家族蠕虫使用以下字典组合攻击FTP服务器，可以避免使用下列账号：anonymous、Admin、admin、www-data、anonymous、administrator、ftp、user、user23；密码：test、password、pass、pass1234、1234、12345、123456、1234567、12345678、123456789、1234567890、qwerty、devry、000000、111111、123123、abc123、admin123、derok010101、windows、123qwe、

email@email.com

2) 内部网络部署蜜罐系统进行感知黑客渗透内网活动

3) 在网络中安装探海流量威胁检测系统，对网络中的可疑流量进行监控，且不会影响网络的正常使用，易于管理监控。

附录一：参考资料

参考链接：

[1] https://www.guardicore.com/2016/06/the-photominer-campaign/

[2]https://www.fireeye.com/blog/threat-research/2016/06/resurrection-of-the-evil-miner.html?from=singlemessage&isappinstalled=1