浏览器取证——Cryptominer(加密货币挖矿)

admin 2025年1月3日13:38:43评论10 views字数 1392阅读4分38秒阅读模式

1.1 加密货币和加密挖矿概述

加密货币是一种基于加密技术的数字货币,通常不依赖中央银行或金融机构进行管理,而是通过去中心化的网络进行操作。它使用区块链技术来记录所有交易,并通过密码学确保交易的安全性和匿名性。

加密挖矿是指通过计算机进行复杂的数学计算,以验证区块链网络中的交易,并获得新发行的加密货币作为奖励的过程。加密挖矿是去中心化网络中验证交易和新增货币的机制之一。

虽然加密挖矿程序本身并不总是恶意的,但确实会对系统的完整性构成风险。通常被视为更大规模网络威胁的前兆,或者是网络犯罪分子在未经授权访问受害者网络后最大化其利润的一种方式。

浏览器取证——Cryptominer(加密货币挖矿)

1.2 介绍

有一些与刚加入网络的PC的加密挖掘相关的流量,观察到这些流量来自浏览器应用程序。相关人员已使用FTK Imager收集了所有关键的浏览器数据,接下来需要使用这些文件来调查加密挖掘活动。

1.3 分析

下载安装 FTK Imager 工具。

使用FTK Imager工具打开需要调查的文件

打开 FTK Imager,转到 File > Add Evidence 项

浏览器取证——Cryptominer(加密货币挖矿)

选择 'Image File'

浏览器取证——Cryptominer(加密货币挖矿)

点击下一页,选择文件路径,点击finish就可以了。

浏览器取证——Cryptominer(加密货币挖矿)

将目录结构展开,可以看到Default 和 Profile1两个配置文件(第一个flag)

路径:rootUsersIEUserAppDataLocalGoogleChromeUser Data
浏览器取证——Cryptominer(加密货币挖矿)

针对''%LOCALAPPDATA%GoogleChromeUser DataDefaultExtensions”路径下的manifest.json 文件进行挖掘,找到Google Chrome 上安装的浏览器主题名称是earth in space。

浏览器取证——Cryptominer(加密货币挖矿)

返回 extension 目录探索其他子目录,Cryptominer (加密货币挖矿程序)本身也是一个浏览器扩展,它的名称位于manifest.json中。ID 是它所在的文件夹的名称。矿工名字是DFP Cryptocurrency Miner(DFP 加密货币挖矿程序)。

浏览器取证——Cryptominer(加密货币挖矿)

Cryptominer (加密货币挖矿程序)的描述为:

Allows staff members to mine cryptocurrency in the background of their web browser   翻译:允许工作人员在其网页浏览器的后台挖掘加密货币

查看扩展目录中的实际 JavaScript 文件。

浏览器扩展中使用的特定 javascript 加密货币挖矿程序的名称是crypto loot;挖矿程序平均每秒计算20哈希值;b23efb4650150d5bc5b2de6f05267272cada06d985a0是挖矿的公钥,也就是挖矿的目标钱包地址,所有挖矿所得的加密货币都会被发送到这个地址;

浏览器取证——Cryptominer(加密货币挖矿)

1.4 总结

本次取证分析通过 FTK Imager 工具,成功识别了浏览器中存在的加密货币挖矿程序。通过对浏览器数据和扩展文件的深入挖掘,发现了隐藏在浏览器后台的挖矿活动,包括矿工程序的名称、钱包地址以及挖矿脚本的执行细节。针对挖矿活动的危害,企业和个人应加强浏览器扩展的安全管理,定期检查和清理不明插件,使用安全软件实时监控系统资源消耗,防范恶意挖矿软件对设备性能和电力资源的侵占。此外,加强网络安全防护,避免通过不明链接和文件传播恶意挖矿脚本,是防范此类攻击的重要措施。

原文始发于微信公众号(白帽攻防):浏览器取证——Cryptominer(加密货币挖矿)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月3日13:38:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浏览器取证——Cryptominer(加密货币挖矿)https://cn-sec.com/archives/3588327.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息