网站首页 > 币百科 >

虚拟货币挖矿指令

2023-04-27 14:52:19 币百科 阅读 0

Bitget下载

注册下载Bitget下载,邀请好友,即有机会赢取 3,000 USDT

APP下载   官网注册

安天捕风团队

1. 概述

近几年全球比特币市场一路走高催生出了一大批“矿工”。与此同时,黑客使用非法的网络手段进行挖矿。近期追踪到利用FTP服务器进行传播挖矿的蠕虫病毒。

2. 样本信息

类型

文件

名称

Photo.scr

大小

1.53Mb

格式

pe

MD5

BEF104BEAC03466E3C73761223941C65

None

恶意判定

yes

病毒类型

malware

病毒名

Trojan[RAT]/Win32.Tepfer.ah

3. 样本详细分析

该病毒利用FTP服务进行传播,尝试连接控制服务器,进行虚拟货币挖掘的蠕虫僵尸网络,大量入侵网络FTP服务器,并呈迅速爆发趋势,该病毒具有典型蠕虫特征,感染后将尝试连接控制服务器,接收更新、接收控制指令、下载虚拟货币挖矿程序;病毒向磁盘大量写入名称为“photo.scr”的母体,感染本地htmlphpaspx等网页文件,嵌入恶意代码,用户访问该网站时,尝试被动传播;并利用字典,主动向网络中的匿名弱口令FTP服务器写入病毒文件,激活感染。

FTP掘金僵尸分析与防护方案

图 1 感染文件类型

FTP掘金僵尸分析与防护方案

图2 插入网页

开始对网络中的FTP服务器进行攻击,会对其进行爆破。一旦成功登录尝试,恶意软件的副本被上传到每个可写服务器。此时,能够呈现给用户(例如HTMLPHPaspx文件)的每个文件都被photo.scr字符串感染在这个阶段,渲染页面将导致一个易受攻击的浏览器作为下载。若用户打开该类文件会受到感染并进行安装挖矿软件会将目标服务器ip凭据和受感染文件列表将发送到恶意软件的后端服务器。有了这些信息,攻击者可以稍后登录到受感染的FTP服务器,感染更多文件并使受害全体进一步扩大

FTP掘金僵尸分析与防护方案

图3 爆破使用的用户名和密码

挖矿过程如下:

1) photo.scr将自身通过xcpoy命令复制到每一个磁盘的根目录下. 每5秒执行一次复制自身的命令:

FTP掘金僵尸分析与防护方案

图4

FTP掘金僵尸分析与防护方案

图5在虚拟机无法运行

FTP掘金僵尸分析与防护方案

图6 沙箱运行结果

2) 从 http://stafftest.ru/test.html?0 的div里下载矿机配置文件.

FTP掘金僵尸分析与防护方案

图7

3) 然后从 http://u.lduxnfz.com/tt/ei.js 解密数据.

FTP掘金僵尸分析与防护方案

图8

4) 将解密的数据放到 %Temp% 文件夹下, 文件名为 pools.txt,

C:\Users\Administrator\AppData\Local\Temp\pools.txt, 这个pools.txt的内容如下:

stratum+tcp://mine.moneropool.com:3333

stratum+tcp://monero.crypto-pool.fr:3333

stratum+tcp://xmr.prohash.NET:7777

stratum+tcp://pool.minexmr.com:5555

这四个地址是矿池的地址。

5)并在同目录下下载生成 NsCPUCNMiner32.exe文件, 或者NsCPUCNMiner64.exe, 并通过从 http://stafftest.ru/test.html?0 获取到的参数开始运行. 比如:

C:\Users\Administrator\AppData\Local\Temp\NsCpuCNMiner32.exe-dbg -1 -ostratum+tcp://mine.moneropool.com:3333 -t1u4Ahxep5d8sdfVfN4XGPTQyUSpLm7gKqYvgqGzxf5raLLZAHQ7dn2oBzYdFCB3M3Gfz74CJQAs7DSMiNFvD1ykAbgSiAzCd4 -p x

这样你的计算机就会沦为挖矿工具,严重消耗cpu和显卡。

4. 解决方案

中毒后解决方法

1) 安装杀毒软件,全盘查杀病毒。

2) 对已感染病毒的网页服务器,可使用文本批量替换工具,删除网页文件中被植入的恶意代码(有photo.scr特征)。

3) 网络监测病毒域名解析行为,对病毒利用域名进行解析的主机,极大可能感染该家族蠕虫病毒。可以对以下几个域名进行重点关注:stafftest.ru(176.126.84.24)hrtests.ru、profetest.ru、testpsy.ru、pstests.ru、qptest.ru、jobtests.ru、iqtesti.ru、managtest.ru、testworks.ru。

4.2 防御措施

1)关闭所有FTP服务匿名访问,修改弱口令账号,已知该家族蠕虫使用以下字典组合攻击FTP服务器,可以避免使用下列账号:anonymous、Admin、admin、www-data、anonymous、administrator、ftp、user、user23;密码:test、password、pass、pass1234、1234、12345、123456、1234567、12345678、123456789、1234567890、qwerty、devry、000000、111111、123123、abc123、admin123、derok010101、windows、123qwe、

email@email.com

2) 内部网络部署蜜罐系统进行感知黑客渗透内网活动

3) 在网络中安装探海流量威胁检测系统,对网络中的可疑流量进行监控,且不会影响网络的正常使用,易于管理监控。

附录一:参考资料

参考链接:

[1] https://www.guardicore.com/2016/06/the-photominer-campaign/

[2]https://www.fireeye.com/blog/threat-research/2016/06/resurrection-of-the-evil-miner.html?from=singlemessage&isappinstalled=1

相关内容

虚拟货币挖矿指令文档下载.: PDF DOC TXT

猜你喜欢