1.1 加密货币和加密挖矿概述
加密货币是一种基于加密技术的数字货币,通常不依赖中央银行或金融机构进行管理,而是通过去中心化的网络进行操作。它使用区块链技术来记录所有交易,并通过密码学确保交易的安全性和匿名性。
加密挖矿是指通过计算机进行复杂的数学计算,以验证区块链网络中的交易,并获得新发行的加密货币作为奖励的过程。加密挖矿是去中心化网络中验证交易和新增货币的机制之一。
虽然加密挖矿程序本身并不总是恶意的,但确实会对系统的完整性构成风险。通常被视为更大规模网络威胁的前兆,或者是网络犯罪分子在未经授权访问受害者网络后最大化其利润的一种方式。
1.2 介绍
有一些与刚加入网络的PC的加密挖掘相关的流量,观察到这些流量来自浏览器应用程序。相关人员已使用FTK Imager收集了所有关键的浏览器数据,接下来需要使用这些文件来调查加密挖掘活动。
1.3 分析
下载安装 FTK Imager 工具。
使用FTK Imager工具打开需要调查的文件
打开 FTK Imager,转到 File > Add Evidence 项
选择 'Image File'
点击下一页,选择文件路径,点击finish就可以了。
将目录结构展开,可以看到Default 和 Profile1两个配置文件(第一个flag)
路径:rootUsersIEUserAppDataLocalGoogleChromeUser Data
针对''%LOCALAPPDATA%GoogleChromeUser DataDefaultExtensions”路径下的manifest.json 文件进行挖掘,找到Google Chrome 上安装的浏览器主题名称是earth in space。
返回 extension 目录探索其他子目录,Cryptominer (加密货币挖矿程序)本身也是一个浏览器扩展,它的名称位于manifest.json中。ID 是它所在的文件夹的名称。矿工名字是DFP Cryptocurrency Miner(DFP 加密货币挖矿程序)。
Cryptominer (加密货币挖矿程序)的描述为:
Allows staff members to mine cryptocurrency in the background of their web browser
翻译:允许工作人员在其网页浏览器的后台挖掘加密货币
查看扩展目录中的实际 JavaScript 文件。
浏览器扩展中使用的特定 javascript 加密货币挖矿程序的名称是crypto loot;挖矿程序平均每秒计算20哈希值;b23efb4650150d5bc5b2de6f05267272cada06d985a0是挖矿的公钥,也就是挖矿的目标钱包地址,所有挖矿所得的加密货币都会被发送到这个地址;
1.4 总结
本次取证分析通过 FTK Imager 工具,成功识别了浏览器中存在的加密货币挖矿程序。通过对浏览器数据和扩展文件的深入挖掘,发现了隐藏在浏览器后台的挖矿活动,包括矿工程序的名称、钱包地址以及挖矿脚本的执行细节。针对挖矿活动的危害,企业和个人应加强浏览器扩展的安全管理,定期检查和清理不明插件,使用安全软件实时监控系统资源消耗,防范恶意挖矿软件对设备性能和电力资源的侵占。此外,加强网络安全防护,避免通过不明链接和文件传播恶意挖矿脚本,是防范此类攻击的重要措施。
原文始发于微信公众号(白帽攻防):浏览器取证——Cryptominer(加密货币挖矿)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论