什么是挖矿木马？我猜你还不知道

最新推荐文章于 2025-05-26 11:49:27 发布

原创最新推荐文章于 2025-05-26 11:49:27 发布 · 1k 阅读

16 ·

CC 4.0 BY-SA版权

文章标签：

#前端 #安全 #面试 #web安全 #开发语言

前言

挖矿木马主要就是通过利用各种手段，将挖矿程序植入到用户的计算机中，在用户不知情的情况下，偷偷利用用户的计算机进行执行挖矿功能，从而获取收益。

以下情况是用户中木马的高频事件：

1.用户往往在不注意的时候，下载并运行了来历不明的破解软件或不安全软件;

2.用户点击运行了钓鱼邮件中的附件的文件;

3.用户没有做好系统及时更新，通过系统漏洞传播;

4.用户浏览了植入挖矿脚本的网页，浏览器就解析脚本进行挖矿。

现在的挖矿木马存在种类非常多常见的如：普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker 模式的挖矿程序。

自查挖矿木马

1.cpu 的使用率，中了挖矿木马，因为会在系统中运行挖矿程序，使得计算机在正常运行下会变得非常卡顿，并且 CPU 的使用率会变得非常高，甚至会达到 100%。

2.通过杀毒软件进行全盘查杀，如果计算机中有存在挖矿木马的样本程序，杀毒软件一般情况下是可以查杀。

3.通过抓包工具(Wireshark）进行查看分析流量，从流量中去分析排查可疑的流量数据包。

样本基本信息

通过 hash 工具获取都挖矿木马样本的 MD5、SHA1、CRC32 数据。

该挖矿样本是控制台窗口的应用程序，通过 ExeInfo PE 工具中的区段信息，可以看出该样本采用了 UPX 压缩壳进行对样本保护，并且该样本程序是 64 位的应用程序。

通过火绒病毒查杀软件，进行扫描查杀该样本程序，可以从下图看到，该样本是属于 Coinminer 团伙研发的挖矿病毒样本程序。

木马功能分析

分析样本需要工具：虚拟机 VMware、IDA、X64dbg、pchunter、WireShark 等工具。脱 UPX 压缩壳方法：单步调试法、内存访问断点法、堆栈平衡法。

通过单步调试法进行脱 UPX 壳，样本加载进 x64dbg 工具后，就单步 F8 方式，一直单步运行，通过观察程序的相对地址，直到跳转到原程序的 OEP 位置。那么再将内存数据 dump 下来就可以了。

样本的主要功能：通过循环遍历创建控制台文件，写入数据到文件，启动控制台文件。通过利用系统函数 CreateFileW 进行创建文件名称设置为 7 个字母的随机名称的文件，并通过 WriteFile 函数，将原始样本内数据拷贝到新创建的进程文件中，最后通过调用系统函数 CreateProcessW 函数进行启动样本。

下图是 x64dbg 调试工具中执行 CreateFileW 进行创建文件。

拼接生成的随机文件名称。

已在指定的目录下成功的生成了应用程序。

通过调用 WriteFile 将数据写入到新创建的文件

最后在通过调用 CreateProcessW 进行启动创建的应用程序。

执行完以上功能后，最终的效果如下图所示。

通过拼接 json 格式，并以 http 协议方式进行发送数据。

从上面的 json 格式中可以很清晰看到访问请求的 ip 地址很端口号：3.120.98.217:8080。接下来反查这个 ip 地址信息，可以看到这个 ip 地址指向的是德国的。

在通过 360 威胁情报中心https://ti.360.cn/#/homepage进行更详细查询这个 ip 地址相关的信息。从下图可以看到这个 ip 地址是属于 Coinminer 家族的挖矿样本，并且查询到的相关联的样本也并不少。

该木马的清理

通过将 C:\Windows\system\目录下，所有随机名称的应用程序文件进行删除。就可以清除掉这个挖矿样本所遗留的应用程序。

预防防护中挖矿样本

1.在计算机中安装病毒查杀软件(火绒、360 杀毒)，并及时更新病毒查杀软件的病毒库，还需做好定时全盘查杀病毒。

2.及时做好计算机系统补丁的更新。

3.服务器、主机、数据库等使用高强度的密码口令，切勿使用弱口令，防止被暴力破解。

4.网络上不要去随意下载、运行来历不明的程序或者破解程序，不随意点击来历不明的链接。

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。