在数字化时代,网络安全威胁层出不穷,挖矿木马已成为其中不容忽视的一大隐患。挖矿木马,作为一种恶意程序,悄然潜入用户系统,利用设备的计算资源为不法分子挖掘虚拟货币,这不仅导致用户设备性能急剧下降,频繁出现卡顿、过热甚至硬件损坏等状况,还会大幅增加能源消耗,造成经济损失。而且,挖矿木马传播途径多样,从恶意邮件、漏洞利用到伪装软件下载,防不胜防。鉴于其危害之广、影响之深,制定一套完善的挖矿木马防御及应急攻略迫在眉睫,以帮助个人和企业有效应对这一威胁,保障系统稳定与数据安全。接下来,我们将深入剖析挖矿木马的方方面面,从其概述到预防措施,再到应急处理方法,为你提供全方位的防护指引。
挖矿木马是一种特殊类型的恶意软件,它主要通过篡改用户设备的正常运行逻辑,将设备的 CPU、GPU 等计算核心资源重新定向,用于执行虚拟货币的挖矿运算。这些木马程序会利用复杂的加密算法,不断尝试破解区块链网络中的加密谜题,一旦成功,就能获得相应的虚拟货币奖励。例如在比特币挖矿中,挖矿木马会驱使设备参与到 SHA-256 算法的哈希运算竞争里,争取计算出符合特定条件的哈希值。
该类木马主要将自身伪装成系统正常进程,躲避用户和安全软件的检测。通常会利用操作系统的进程管理机制漏洞,修改进程名称、标识符等关键信息,使其看起来与系统核心进程无异。
该类木马主要利用恶意浏览器插件,这些插件一旦被用户安装到浏览器,就会在用户浏览网页时启动挖矿程序。
该类木马主要通过注册表、计划任务等方式通过编写恶意powershell脚本、cmd命令长期驻留在操作系统中。
该类木马主要隐藏某些特殊目录下如字体文件目录,正常使用资源管理器无法查看到具体木马文件。
该类木马主要通过注册驱动方式驻留在操作系统中以确保持久性,在系统启动时就加载运行,并且能够避开常规安全软件的检测。
该类木马主要通过各种手段如漏洞利用、社会工程学等,将恶意动态链接库文件植入到目标系统中去,利用目标系统的预加载机制,在正常程序之前加载恶意DLL。
该类木马主要通过制作包含挖矿程序的Docker镜像,将挖矿软件以及相关配置文件、启动脚本等集成到镜像中去,运行该恶意镜像Docker容器时,容器内的挖矿程序会自动启动。
不法分子会精心伪装邮件内容,使其看起来像是来自正规机构或熟人。邮件中往往携带恶意附件,当用户误点击打开附件,就可能触发挖矿木马的下载与安装。
黑客会扫描互联网上存在系统漏洞或软件漏洞的设备,如未及时更新补丁的 Windows 系统、存在安全漏洞的 Adobe 软件等。
在一些非正规的软件下载站点,挖矿木马会被捆绑在热门软件的安装包中。用户在下载并安装这些看似正常的软件时,不知不觉就将挖矿木马引入了自己的设备。
挖矿木马持续占用大量计算资源,导致设备运行速度明显变慢。日常操作如打开文档、浏览网页都变得卡顿,严重影响用户体验。比如电脑在运行挖矿木马后,原本流畅的视频播放出现严重掉帧现象。
长时间高负荷运行挖矿运算,会使设备的 CPU、GPU 等硬件过热。如果散热系统无法及时有效降温,可能导致硬件元件老化、损坏,缩短设备使用寿命。例如显卡因过热出现花屏、死机等故障。
挖矿过程中设备持续高速运转,耗电量大幅增加。对于企业而言,这会显著提高运营成本;对个人用户来说,电费账单也会大幅攀升。
挖矿木马是一种恶意程序,它会利用受害者的计算机资源来挖掘加密货币,给用户带来系统性能下降、硬件损坏和能源消耗等问题。以下是一些预防挖矿木马的措施:
及时更新操作系统、浏览器、应用程序等软件,开发商会在更新中修复已知的安全漏洞,减少被挖矿木马利用的机会。
安装知名的防病毒软件、防恶意软件,并定期进行病毒查杀和系统扫描,实时监控系统活动,及时发现并阻止挖矿木马的入侵和运行。
只从官方和可信赖的来源下载软件,避免从不可信的网站、论坛或未知的链接下载和安装程序,以防下载到包含挖矿木马的恶意软件。
不轻易打开陌生人发送的邮件附件,尤其是.exe、.zip 等可执行文件或压缩文件。同时,对于邮件中的链接也要谨慎点击,避免进入钓鱼网站或下载恶意软件。
设置复杂且独特的密码,并定期更换。启用防火墙,限制外部对计算机的访问,阻止可疑的网络连接,防止挖矿木马通过网络传播。
安装浏览器扩展程序时要谨慎,只选择来自官方应用商店和可信赖开发者的扩展。同时,定期清理浏览器缓存和历史记录,防止恶意脚本利用浏览器漏洞植入挖矿木马。
定期查看计算机的 CPU、GPU、内存等资源使用情况,若发现资源使用率异常升高,且无明显原因,可能是感染了挖矿木马,应及时进行排查和处理。
了解挖矿木马的常见传播方式和危害,提高自身的安全意识,不随意进行可能存在风险的操作,如点击不明链接、安装来路不明的软件等。
由于挖矿木马需要占用目标主机大量的资源,所以挖矿木马执行后,会出现CPU占用率过高、温度持续过高、风扇速度持续加快等情况,甚至重启也不能解决这些问题,根据此特征我们可以初步判断是否存在挖矿木马程序。
挖矿木马运行时,会连接钱包地址进行数据交互。因此,通过查看网络连接流量,若发现其中存在与钱包地址相关的流量数据,便很有可能意味着系统已感染挖矿木马。
挖矿木马极有可能携带蠕虫功能,这使其能够自动扫描并入侵网络内的其他主机,如同恶性病毒般迅速扩散,造成难以估量的损失。从数据丢失、系统瘫痪到网络大面积故障,后果不堪设想。为有效遏制其传播态势,避免遭受更为严重的破坏,一旦检测到主机感染此类挖矿木马,必须争分夺秒地将受感染主机从网络中隔离出来,切断其传播途径。
挖矿木马的危害极大,其行为不仅包括连接矿池,以窃取主机算力谋取非法利益;若该木马具备远控功能,更会听从攻击者指令,对主机展开进一步攻击,诸如窃取敏感数据、操控主机发起网络攻击等,严重威胁主机安全及网络环境。因此,一旦发现挖矿木马踪迹,必须即刻实施网络阻断措施,防止其恶意行为的扩散与深化。
挖矿木马进程通常会导致 CPU 占用率持续处于高位。针对这一情况,可借助 top 与 ps 命令,精准定位目标进程 ID,进而对木马程序予以清除 。
挖矿木马为实现免密登录主机,常常会自行将 SSH 公钥写入目标系统。因此,重点检查主机中~/.ssh/authorized_keys文件,查看是否存在异常的 SSH 公钥,是检测挖矿木马入侵的有效手段。
定位到木马后,需全面清除,确保与木马程序相关的各类配置被彻底移除,杜绝删除木马程序后其死灰复燃的可能。清理工作主要围绕注册表、启动项、计划任务以及服务等关键区域展开。
杀毒软件查杀木马时,先从病毒库提取已知木马特征码,扫描系统文件并逐一比对。若文件与特征码匹配,就判定为木马。同时,它还监测程序行为,像未经授权联网、频繁修改敏感系统设置这类异常行为,也会被识别。一旦确定是木马,杀毒软件依用户设定,或直接删除,或隔离,以清除威胁。
1.终止异常进程:借助top命令,快速定位CPU占用率异常高的进程。确定目标进程后,使用kill -9 pid(其中pid为目标进程的进程号)命令,果断终止该进程的运行。
2.移除木马程序:通过ls -l /proc/$PID/exe指令($PID需替换为实际的进程号),精准获取木马程序所在路径。随后,运用rm -rf命令,彻底删除该木马程序文件。
-
利用crontab -l命令,仔细查看系统的计划任务列表。一旦发现异常任务,立即使用crontab -r命令将其全部清除。
-
同时,深入检查/var/spool/cron/目录,确认是否存在隐藏的异常计划任务,并进行相应处理。
4.处置异常开机启动项:执行systemctl list-unit-files命令,全面筛查系统中有无异常的开机启动项。若检测到异常,使用systemctl disable服务名(“服务名” 为具体异常服务的名称)命令,禁用该异常启动项。
5.截断异常网络通信:借助netstat -antp命令,详细排查系统中是否存在异常的网络通信连接。一旦发现,迅速阻断相关通信链路,并使用合适的命令杀掉对应的异常进程。
6.清理异常预加载文件:使用cat /etc/ld.so.preload命令,查看系统中是否存在异常的预加载.so文件。若有,立即使用rm -rf命令将其删除,消除潜在风险。
1.结束异常进程:按下Ctrl + Shift + Esc打开 “任务管理器”,在 “进程” 选项卡查看CPU占用异常进程,右键选 “结束任务”;无响应时按Ctrl + Alt + Del,进 “任务管理器”“详细信息” 选项卡,右键对应进程选 “结束进程树” 。
2.删除木马文件:在 “任务管理器” 中右键挖矿木马进程,选 “打开文件所在位置” 定位文件,关闭相关程序后删除;若无法删除,重启进安全模式(开机按 F8 等,不同电脑按键不同,选 “安全模式” )后删除。
3.检查并清理计划任务:按下Win + R,输入taskschd.msc回车打开 “任务计划程序”,查看 “任务计划程序库” 等目录下有无可疑计划任务,右键单击可疑任务选 “删除” 。
4.处理异常开机启动项:按下Ctrl + Shift + Esc打开 “任务管理器”,在 “启动” 选项卡中右键异常启动项,选 “禁用” 。
-
按下Win + R,输入cmd回车打开命令提示符,输入netstat -ano查看异常网络连接,记录对应 PID 。
-
在 “任务管理器”“详细信息” 选项卡中根据PID找到进程,右键选 “结束进程”;或在 “高级安全 Windows 防火墙” 创建规则,阻止与可疑IP通信。
按下Win + R,输入regedit回车打开注册表编辑器,先 “文件” - “导出” 备份注册表。依次查看HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce等项,右键删除指向挖矿程序的异常键值。
山石智源XDR解决方案联动云、网、端三维立体防护,帮助客户对“挖矿”进行全面、闭环式的检测分析和研判处置。
1.山石智铠(UES)预先建立服务器、电脑的正负反馈行为基线,以便于及时发现异常流量和进程;
2.XDR平台收集全网设备的流量,联动山石云瞻情报库中的矿池域名和IP,通过大数据分析研判,从“挖矿通信行为”、“挖矿恶意IP”等维度检测“挖矿”病毒;
3.针对“挖矿”病毒入侵溯源取证,还原完整攻击路径,同时进行全面的资产风险评估;
4.通过山石智铠(UES)将“挖矿”进程一键阻断,隔离挖矿主机避免横向扩散;或者通过XDR平台的SOAR自动化剧本向防火墙下发阻断策略,对中毒终端进行IP阻断,阻止其与矿池IP通信。最终通过智铠(UES)完成对挖矿主机的病毒查杀,深度清除挖矿软件。
-
攻击前可预防: 事前梳理资产风险点,避免挖矿软件传播入侵。
-
攻击中可检测: 多维度检测挖矿事件,让挖矿软件无处遁形。
-
攻击后可溯源: 完整还原挖矿行为事件过程,提供证据信息,辅助分析研判。
-
攻击后可处置: 通过多设备的联动处置,完成挖矿主机的清理恢复。
原文始发于微信公众号(山石网科安全技术研究院):山石蓝队 | 挖矿木马防御及应急攻略
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4016462.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论