挖掘木马的理论基础
由于区块链技术的热炒和数字货币的神奇推广和运作,数字货币,如比特币、以太坊、门罗币、大石币等,被各种热炒热了。在这些利益的驱动下,出现了各种模式的挖矿木马程序。挖矿木马主要利用各种手段将挖矿程序植入用户& # 039;的电脑,并偷偷使用用户& # 039;的计算机在没有用户的情况下执行挖掘功能& # 039;的意识,从而获取利润。
以下是用户中木马的高频事件。
用户经常在不注意的时候下载运行破解软件或者来历不明的不安全软件;
用户点击运行钓鱼电子邮件附件的文件;
用户没有及时更新系统,通过系统漏洞传播;
用户浏览嵌入了挖掘脚本的网页,浏览器分析脚本进行挖掘。
现在的挖矿木马种类繁多,常见的有开源挖矿程序、无文件挖矿程序、网页挖矿程序、驱动模式挖矿程序、Docker模式挖矿程序等。
自测挖矿木马
1.cpu利用率沦为挖矿木马的牺牲品。因为挖矿程序会在系统中运行,正常运行下电脑会变得很卡,CPU的利用率会变得很高,甚至达到100%。
2、通过杀毒软件进行查杀,如果电脑中有挖矿木马的样本程序,杀毒软件一般都能查杀。
3.通过数据包捕获工具(Wireshark)检查和分析流量,并从流量中分析和检查可疑的流量数据包。
样本基本信息
利用哈希工具获取杜矿木马样本的MD5、SHA1、CRC32数据。
挖掘示例是控制台窗口的一个应用程序。通过ExeInfo PE工具中的section信息可以看出,使用了UPX压缩包来保护样本,样本程序是64位的应用程序。
通过tinder杀毒软件扫描查杀这个样本程序。从下图可以看出,这个样本属于Coinminer gang开发的挖矿病毒样本程序。
木马功能分析
样本需要工具:虚拟机VMware、IDA、X64dbg、pchunter、WireShark等工具。
摆脱UPX压缩壳的方法:单步调试、内存访问断点和堆栈平衡。
通过单步调试方法去除UPX外壳。将示例加载到x64dbg工具后,它以单步F8模式运行,观察程序的相对地址,直到它跳转到原始程序的OEP位置。然后将内存数据转储下来。
该示例的主要功能是:通过循环遍历创建控制台文件,向文件中写入数据,以及启动控制台文件。使用系统函数CreateFileW创建一个随机名称为7个字母的文件,通过WriteFile函数将原始样本中的数据复制到新创建的流程文件中。最后,调用系统函数CreateProcessW函数来启动示例。
下图显示了在x64dbg调试工具中执行CreateFileW创建的文件。
拼接生成的随机文件名。
在执行一次该过程之后,在指定的目录中已经成功地生成了应用程序。
通过调用WriteFile将数据写入新创建的文件。
最后,通过调用CreateProcessW启动创建的应用程序。
样本函数执行后,最终效果如下图所示(只列出了运行程序的一小部分,实际上是几十个或者几百个样本同时运行)。
通过拼接json格式,用http协议发送数据。
从上面的json格式中,可以清楚地看到访问请求的ip地址是端口号:3.120.98.217:8080。接下来查看这个ip地址信息,可以看到这个ip地址指向德国。
通过https://ti.360.cn/#/homepage.的360威胁情报中心
对该ip地址的相关信息进行更详细的查询。从下图可以看出,这个ip地址是属于Coinminer家族的挖掘样本,找到的相关样本也不少。
特洛伊木马的清除
删除C:\\Windows\\system\\目录下所有随机命名的应用程序文件。您可以清除此挖掘示例留下的应用程序。
预防和保护中的采矿样品
1.在电脑中安装杀毒软件(tinder,360杀毒),及时更新杀毒软件的病毒库。也要做好定期查杀病毒的工作。
2.及时更新电脑系统补丁。
3.对服务器、主机、数据库等使用强密码。不要使用弱密码来防止暴力破解。
4.唐& # 039;不要下载、运行或破解互联网上来历不明的程序,也不要& # 039;不要随意点击来历不明的链接。
