挖矿木马防御方法+应急处理大全

  • A+
所属分类:安全文章

一、为什么会有挖矿木马

挖矿机程序运用计算机强大的运算力进行大量运算,由此获取数字货币。由于硬件性能的限制,数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币,因此,一些不法分子通过各种手段将挖矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序就是挖矿木马。

以比特币为例,如果没有没人挖矿,就生成不了新的区块,区块链就不会增加,那么比特币就没法进行交易,无法进行流通。为了保证不断有人进行挖矿,不断有新的区块产生,保证区块链的增长,在中本聪论文描述的比特币世界中,全网平均每10分钟产出一个区块,每区块包含50(现在是12.5,比特币每四年左右减半一次)个比特币,而一个区块只可能被某个幸运儿挖走,直接拥有里面的比特币,其他人则颗粒无收,挖到的概率与矿工投入的设备算力大小成正比。这就注定了如果比特币挖矿参与人数庞大且分散到一定程度后,挖到比特币的概率将无限接近于零,跟中彩票差不多。或许投入一台矿机挖矿,按照概率,要5~10年才能开采到一个区块,这使比特币挖矿陷入尴尬境地,催生出大量的挖矿木马。


二、什么是矿池

由于比特币全网的运算水准在不断的呈指数级别上涨,单个设备或少量的算力都无法在比特币网络上获取到比特币网络提供的区块奖励。在全网算力提升到了一定程度后,过低的获取奖励的概率,促使一些“bitcointalk”上的极客开发出一种可以将少量算力合并联合运作的方法,使用这种方式建立的网站便被称作“矿池”(Mining Pool)。
在此机制中,不论个人矿工所能使用的运算力多寡,只要是透过加入矿池来参与挖矿活动,无论是否有成功挖掘出有效资料块,皆可经由对矿池的贡献来获得少量比特币奖励,亦即多人合作挖矿,获得的比特币奖励也由多人依照贡献度分享。全球算力排名前五的比特币矿池有:BTC.com 、Poolin、AntPool、slush pool、、F2Pool,全球约70%的算力在中国矿工手中。


三、未雨绸缪,防范未然


1、首先我们可以开启Windows防火墙,并关闭445135137138139端口双向流量,关闭网络共享功能。 步骤如下:

  • 「控制面板」>Windows防火墙」>「打开或关闭Windows防火墙」>「启用Windows防火墙」

    挖矿木马防御方法+应急处理大全


  • 在「Windows防火墙」的「高级设置」中新建「入站规则」,「规则类型」选择「端口」

    

挖矿木马防御方法+应急处理大全

  • 规则应用于「TCP」,「特定本地端口」填入「135,137-139,445

    

挖矿木马防御方法+应急处理大全

  • 选择「阻止连接」操作

    

挖矿木马防御方法+应急处理大全

  • 将规则应用于「域」、「专用」、「公用」,并设置规则名称即可。出站规则依此类推。

  • 停止网络共享服务,在命令行中属于以下命令,禁用并停止Windows共享相关服务

        sc configBrowser start= disabled

        sc stopBrowser


        sc configLanmanServer start= disabled

       scstop LanmanServer

       

    挖矿木马防御方法+应急处理大全

挖矿木马防御方法+应急处理大全


2、如果有部署安全设备要尽可能及时保持更新,例如山石网科防火墙AVIPS特征库升级至最新版本,同时设置阻断策略。

IPS 规则设置方法:

「对象」>「入侵防御」>「模板」,点击「新建」,规则如下:

   挖矿木马防御方法+应急处理大全

设置完毕在策略中绑定设置的IPS规则。

AV 设置方法:

在策略中启用病毒过滤,模板选择预定义的「predef_high」即可。

为了保证IPS和AV规则的工作,除了升级IPS和AV库至最新版本外,建议升级设备的应用特征库至最新版本,同时检查目的安全域的应用识别功能为「启用」状态。查看方式如下:

「网络」>「安全域」,选中对应的目的安全域,点击“编辑”:

        挖矿木马防御方法+应急处理大全

 

3、不点击不明广告和链接,屏蔽和阻拦弹窗广告。不浏览被安全软件提示为恶意的站点;

4、尽量不要安装盗版破解软件、外挂!大部分的盗版软件都带有后门或木马,所以一定要安装和使用可信来源的应用服务。

5、不要轻易插上他人的U盘等外设。启动恶意U盘等外设会造成病毒的植入。

6、及时更新系统和打补丁,包括中间件、数据库都一样,都会利用漏洞进行攻击。

7、使用强度高的Windows登录密码,中间件、数据库、openVPN、jenkins、redis、Tomcat、Weblogic、Jboss,Struts2等第三方软件等一样需要防御弱口令爆破攻击;

8、不轻易点击陌生邮件。在恶意邮件中往往包括恶意的附件,如果必须查看,应该先进行病毒查杀。不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件。

9、安装杀毒软件防御挖矿木马攻击,定期检查有没有可疑的计划任务。


四、判断挖矿木马的类型


1.开源挖矿木马

如果感觉主机突然出现明显的卡顿,可以打开任务管理器,查看CPU使用率,中了挖矿木马时,用任务管理器可能会看到存在奇怪的进程,CPU占用率较高,比如下图中,被大量的Powershell进程占用,CPU使用率高达100%,造成电脑严重卡顿。Powershell进程占用CPU使用率高达99%,造成电脑运行缓慢,其后没有什么明显恶意行为。


挖矿木马防御方法+应急处理大全


或者使用ProcessHacker等工具查看进程,可以看到对应程序的图标,大多数集成开源挖矿程序的木马,运行后都会带有“Xr”的图标,有时候攻击者为了让挖矿木马不被发现,可能会通过服务等方式启动挖矿程序,这时可以借助内存搜索工具来定位进程,使用工具搜索挖矿域名或相关字符串:
判断挖矿进程的存在需要一定的经验,不一定占用CPU高、导致卡顿的进程都是挖矿进程,要注意区别是否为系统配置问题导致的卡顿。通常情况下,挖矿木马都会有系统驻留模块,会通过计划任务、服务等方式不断的拉起恶意进程,因此仅结束进程不一定能有效的清除,建议使用专业的安全软件进行处置。


2.无文件挖矿木马

无文件挖矿主要通过注册表、计划任务等方式将恶意的powershell、cmd命令驻留在系统中,定时拉起,较为明显的现象是出现可疑的powershell或cmd进程,参数中带有恶意的命令。通常情况下,无文件挖矿仅通过结束进程是无法完全清除的,系统中可能残留恶意的计划任务,或是恶意的WMI,需要全部进行删除才能彻底清除木马。

挖矿木马防御方法+应急处理大全

3.目录隐藏挖矿木马

C:WindowsFonts目录是Windows系统下用于存放字体文件的目录,有一些病毒会将自身的程序隐藏在该目录下,例如Explorer一键挖矿,正常使用资源管理器在Fonts目录下无法查看到木马文件,需要借助PCHunter工具查看。使用资源管理器查看Fonts目录,即使搜索也无法发现异常子目录,使用PCHunter查看到的Fonts目录下木马文件生成的目录。如发现Fonts目录下出现arial、Logs、temp、ttf目录,建议立即使用杀毒软件进行全盘扫描和查杀,或参考附录explorer一键挖矿的处置方法手动清除。


4.WEB网页脚本挖矿

网页挖矿是指攻击者将挖矿木马植入正常网站,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令。常见的网页挖矿木马有:Coinhive、JSEcoin、CryptoLoot、DeepMiner、Webmine、AuthedMine、BrowserMine、Coinimp、CryptoWebMiner、Ppoi等。网页挖矿的主要特征为,访问挖矿站点时,CPU使用率会剧增,退出挖矿站点访问后,CPU使用率瞬间下降,网页挖矿脚本的代码中通常会包含“miner”字符串,具有一定的辨识度。


5.驱动程序挖矿木马

驱动挖矿是指挖矿木马通过注册驱动的方式驻留在系统中以确保持久性,ProtectionX挖矿木马就是其中一种,除了自保护和自启动外,还会释放安装驱动文件,母体运行后会将自身设置为隐藏属性,并释放win1logon.exe、wuauc1t.exe、ProcessExtended.dll,并且释放一个快捷方式用于带参数启动wuauc1t.exe,同时会在temp目录下释放随机字符命名的驱动文件,并通过注册成服务hy5.5。

6.动态链接库预加载挖矿

Linux动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术,这种技术可以重写系统的库函数,只需要在预加载的链接库中重新定义相同名称的库函数,程序调用库函数时,重新定义的函数即会短路正常的库函数,这种技术可以用来重写系统中有漏洞的库函数,达到修复漏洞的目的,如get_host_byname导致ghost漏洞的这类函数。通过重写mkdir, mkdirat, chdir, fchdir, opendir, opendir64, fdopendir, readdir, readdir64等和系统文件,网络,进程相关的库函数来达到隐藏文件,进程的目的。

7.Docker镜像挖矿

Docker是指攻击者将挖矿程序打包到Docker镜像中,上传到Docker Hub,当用户pull下来运行使用时,挖矿进程就偷偷的执行了,可以使用命令查看挖矿进程:ps –elf | grep xmrig,查看主机上的Docker镜像:docker container ls。


五、挖矿木马人工处理服务


您可以通过邮件方式类型我们:[email protected],为了能够更快速的定位问题,需提供以下信息:


1.安全事件的主体,如:单位名称、地址、接口人姓名、电话。
2.安全事件发生的时间、被攻击的物理位置、相关IP。
3.能够对安全事件进行一个简单的现象描述。
4.提供安全事件所涉及到的应用系统及其他IT资产,并可简单预估损失范围。
5.如有现象的截图、照片或事件日志、安全设备日志信息也一起提供。

6.恶意程序样本请打包,压缩包加密码提交。


山石网科计算机紧急响应团队 HillStone Computer Emergency Response Team,简称HSCERT,是山石安研院下属部门,负责对各类计算机病毒木马等恶意程序进行应急处理和特征提取工作,同时兼反病毒技术培训和预警发布。

挖矿木马防御方法+应急处理大全


本文始发于微信公众号(山石网科安全技术研究院):挖矿木马防御方法+应急处理大全

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: