什么是挖矿木马？我猜你还不知道

前言

挖矿木马主要就是通过利用各种手段，将挖矿程序植入到用户的计算机中，在用户不知情的情况下，偷偷利用用户的计算机进行执行挖矿功能，从而获取收益。

以下情况是用户中木马的高频事件：

1.用户往往在不注意的时候，下载并运行了来历不明的破解软件或不安全软件;

2.用户点击运行了钓鱼邮件中的附件的文件;

3.用户没有做好系统及时更新，通过系统漏洞传播;

4.用户浏览了植入挖矿脚本的网页，浏览器就解析脚本进行挖矿。

现在的挖矿木马存在种类非常多常见的如：普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker 模式的挖矿程序。

自查挖矿木马

1.cpu 的使用率，中了挖矿木马，因为会在系统中运行挖矿程序，使得计算机在正常运行下会变得非常卡顿，并且 CPU 的使用率会变得非常高，甚至会达到 100%。

2.通过杀毒软件进行全盘查杀，如果计算机中有存在挖矿木马的样本程序，杀毒软件一般情况下是可以查杀。

3.通过抓包工具(Wireshark）进行查看分析流量，从流量中去分析排查可疑的流量数据包。

样本基本信息

通过 hash 工具获取都挖矿木马样本的 MD5、SHA1、CRC32 数据。

该挖矿样本是控制台窗口的应用程序，通过 ExeInfo PE 工具中的区段信息，可以看出该样本采用了 UPX 压缩壳进行对样本保护，并且该样本程序是 64 位的应用程序。

通过火绒病毒查杀软件，进行扫描查杀该样本程序，可以从下图看到，该样本是属于 Coinminer 团伙研发的挖矿病毒样本程序。

木马功能分析

分析样本需要工具：虚拟机 VMware、IDA、X64dbg、pchunter、WireShark 等工具。脱 UPX 压缩壳方法：单步调试法、内存访问断点法、堆栈平衡法。

通过单步调试法进行脱 UPX 壳，样本加载进 x64dbg 工具后，就单步 F8 方式，一直单步运行，通过观察程序的相对地址，直到跳转到原程序的 OEP 位置。那么再将内存数据 dump 下来就可以了。

样本的主要功能：通过循环遍历创建控制台文件，写入数据到文件，启动控制台文件。通过利用系统函数 CreateFileW 进行创建文件名称设置为 7 个字母的随机名称的文件，并通过 WriteFile 函数，将原始样本内数据拷贝到新创建的进程文件中，最后通过调用系统函数 CreateProcessW 函数进行启动样本。

下图是 x64dbg 调试工具中执行 CreateFileW 进行创建文件。

拼接生成的随机文件名称。

已在指定的目录下成功的生成了应用程序。

通过调用 WriteFile 将数据写入到新创建的文件

最后在通过调用 CreateProcessW 进行启动创建的应用程序。

执行完以上功能后，最终的效果如下图所示。

通过拼接 json 格式，并以 http 协议方式进行发送数据。

从上面的 json 格式中可以很清晰看到 访问请求的 ip 地址很端口号：3.120.98.217:8080。接下来反查这个 ip 地址信息，可以看到这个 ip 地址指向的是德国的。

在通过 360 威胁情报中心https://ti.360.cn/#/homepage进行更详细查询这个 ip 地址相关的信息。从下图可以看到这个 ip 地址是属于 Coinminer 家族的 挖矿样本，并且查询到的相关联的样本也并不少。

该木马的清理

通过将 C:\Windows\system\目录下，所有随机名称的应用程序文件进行删除。就可以清除掉这个挖矿样本所遗留的应用程序。

预防防护中挖矿样本

1.在计算机中安装病毒查杀软件(火绒、360 杀毒)，并及时更新病毒查杀软件的病毒库，还需做好定时全盘查杀病毒。

2.及时做好计算机系统补丁的更新。

3.服务器、主机、数据库等使用高强度的密码口令，切勿使用弱口令，防止被暴力破解。

4.网络上不要去随意下载、运行来历不明的程序或者破解程序，不随意点击来历不明的链接。

零基础入门网络安全/黑客技术

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取

点击领取 《网络安全&黑客&入门进阶学习资源包》