【实战】记一次挖矿专项排查

admin 2023年3月19日14:36:41评论18 views字数 1296阅读4分19秒阅读模式

扫码领资料

获网安教程

免费&进群

【实战】记一次挖矿专项排查
【实战】记一次挖矿专项排查

事件背景

根据上级开展挖矿专项整治工作,针对当地网吧、酒店等地区开展挖矿排查,此事件便是挖矿专项整治工作中的一例典型。

币种类型

【实战】记一次挖矿专项排查

RVN币中文名称渡鸦币,英文全称Ravencoin,是一种实验性的数字货币,可以即时支付给世界任何地方的任何人。Raven使用点对点技术在没有中央管理机构的情况下运营:管理交易和发放资金由网络共同执行。Raven Core是能够使用这种货币的开源软件的名称。Ravencoin是一种数字的点对点对网络,旨在使用特定的区块链,以便有效处理一项特定功能:将资产从一方转移到另一方。基于比特币代码的分支,Ravencoin 于2018年1月3日发布,是一个真正的开源项目(没有 ICO 或主节点)。它着重于建立一个有用的技术,并建立一个强大且不断发展的社区。

事件排查

接到事件排查通知,此次排查对象为当地一家网咖,从通报清单来看,此网咖互联网出口IP与矿池交互数据量巨大。通报清单上已给出矿池IP为:18.1.1.1(新加坡 新加坡 |亚马逊云主机);恶意连接地址:114.1.1.1(中国 浙江省 杭州市|阿里云)。在与网咖老板沟通后,老板反馈说,自己已经更换了最新的显卡还是有客户抱怨电脑卡,所以选取了几台显卡最好的机器进行排查。通过简单排查后,可以确定网吧所有客户机均存在与恶意矿池地址连接行为。【实战】记一次挖矿专项排查

从威胁情报得知此IP地址相关域名“*.ravenxxxxx.com”均为Ravencoin矿池地址,其中通信样本也为挖矿程序样本。
18.1.1.1相关信息:【实战】记一次挖矿专项排查

【实战】记一次挖矿专项排查

114.1.1.1相关信息:【实战】记一次挖矿专项排查

后续跟进进程id,锁定恶意程序进程cssrs.exe”, 该程序位于“C:/Windows/Fonts/cssrs.exe”【实战】记一次挖矿专项排查

该程序执行命令如下:

C:/Windows/Fonts/cssrs.exe -a kawpow -o 18.1.1.1:3838 -u RTssxxxxxx.RVN --temperature-limit 85 -i 90
C:\Windows\Fonts\cssrs.exe  -a kawpow -o 18.1.1.1:3838 -u RTssxxxxxx.RVN --temperature-limit 85 -i 90 -RUN -reboot-times 0

与网上渡鸦币挖矿程序命令一致:

【实战】记一次挖矿专项排查

经过测试,当我打开任务管理器查看、火绒剑分析等操作,程序会立即停止,并且立即删除源文件。并且该程序设置了隐藏,直接通过文件管理器找不到相关程序,这种隐藏额文件我们可以通过xcopy+Tab自动补全将程序拷贝出来【实战】记一次挖矿专项排查

拿到挖矿样本后丢到vt云沙箱对恶意程序进行恶意样本分析,分析结果为矿工程序:【实战】记一次挖矿专项排查

通过wireshark抓取流量,发现主机一直在与矿池地址进行连接通信,证实自电脑启动,挖矿程序就落地并开始进行挖矿。【实战】记一次挖矿专项排查

后续排查当前电脑启动项、计划任务、注册表、服务等均未发现异常,一度陷入纳闷ing,后突然想起网吧的电脑都是无盘启动的,在上一层还有网吧的某圈计费系统,于是联系到网吧的系统维护商进行协助。
> 此处由于是维护商电脑上操作的,无截图,只能文字描述一下了...
维护商到达现场后,维护商在一顿抱怨中,登录到了某圈计费系统管理后台,在再进行一番测试后,首先尝试仅删除某圈计费系统,但恶意连接依然存在,最后此计费系统的一处功能吸引了我的注意,此系统可挂载语音助手、小妖精灵等网吧管理工具到系统启动中,对此功能进行一一排查发现存在一个名为“浏览器.bat”的启动项,该bat打开第一眼没看出啥问题,一片空白,最后把文件拉到最下方发现有内容,woc这妥妥的有大问题【实战】记一次挖矿专项排查

遂即将此exe拷贝下来丢到云沙箱查看:【实战】记一次挖矿专项排查

该程序启动后进程详情:【实战】记一次挖矿专项排查

事件总结

综上可以证实,该exe为矿工程序下载程序。由于某圈管理系统中添加系统启动功能中存在恶意“浏览器.bat”导致网吧机器在启动时便会执行bat文件,启动指定恶意程序下载矿工程序,执行挖矿,目前已联系维护商相关负责人o

作者:奇安攻防社区【F1ne】转载自:https://forum.butian.net/share/2162

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

原文始发于微信公众号(白帽子左一):【实战】记一次挖矿专项排查

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月19日14:36:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【实战】记一次挖矿专项排查 https://cn-sec.com/archives/1614342.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: