XXX环保设备有限公司 XXXHUANBAOSHEBEIYOUXIANGONGSI
全国咨询热线 00-000-00000000

挖矿处置手册:安全研究员的套路都在这儿了

作者:澳门总统官网-澳门总统网站网址-总统注册网站    发布时间:2019-12-02 18:26:10    来源:澳门总统官网-澳门总统网站网址-总统注册网站    浏览:3

  攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿木马。

  由于比特币的成功,许多基于区块链技术的数字货币纷纷问世,如以太币、达世币等;从深信服安全团队接到的挖矿木马案例来看,门罗币是最受挖矿木马青睐的数字货币,主要有如下几个原因:

  3.门罗币的算法通过计算机CPU和GPU即可进行运算,不需要其他特定的硬件支持;

  通常对挖矿木马的感知,主要表现在主机的使用感上,在主机正常运行的情况下,突然变得卡顿,并且CPU的使用率高于正常使用时的数值或达到了100%:

  当然,仅从卡顿和CPU使用率来判断是否中了挖矿木马是不准确的,从安全产品上能够更加准确直观的发现挖矿木马。

  例如,如果使用了防火墙或态势感知产品,通常能够准确的告警主机试图连接挖矿木马相关的域名,或者准确的给出挖矿木马家族标签,下图以深信服安全感知产品为例:

  可以看到关键风险中存在“driverlife”标签,即主机请求了“驱动人生”挖矿木马的相关域名。如果安全产品上只是报出了黑域名,下图以深信服防火墙为例:

  此时可以通过威胁情报搜索相关的域名信息,下图为使用微步在线(查询恶意域名的示例,可以看到该域名被关联到“驱动人生”挖矿木马:

  如果是没有部署流量产品的情况下,需要判断是否存在挖矿流量就稍微麻烦一些,需要使用工具抓取流量包来进行判断,推荐的抓包工具有Wireshark、科来网络分析工具,例如抓到下列数据包,通常该数据的格式就是挖矿木马的与矿池的通信格式:

  如果是使用了杀毒软件,定期进行全盘扫描也能够发现挖矿木马,通常会扫描出Miner或永恒之蓝漏洞利用工具包的文件,表现为带有字符“ShadowBrokers”、“EternalBlue”,下图以深信服EDR的查杀结果为例:

  很多用户可能同时使用了流量产品和终端杀软进行联动,会出现流量报了挖矿木马的威胁,但是终端杀软却没有查杀到病毒,是什么原因呢?

  2.报出流量的设备是否为开启了DNS服务、代理服务、端口转发等可能转发流量的业务,在这种情况下,可能是转发其他主机的流量产生的告警,需要定位到真正中毒的主机进行查杀。

  如果感觉主机突然出现明显的卡顿,可以打开任务管理器,查看CPU使用率,中了挖矿木马时,用任务管理器可能会看到存在奇怪的进程,CPU占用率较高,比如下图中,LogonUI.exe占用的CPU明显高于其他进程,并且进程描述中有很明确的“XMRigCPUminer”信息:

  或者使用ProcessHacker等工具查看进程,可以看到对应程序的图标,大多数集成开源挖矿程序的木马,运行后都会带有如下“Xr”的图标:

  有时候攻击者为了让挖矿木马不被发现,可能会通过服务等方式启动挖矿程序,这时可以借助内存搜索工具来定位进程,使用工具搜索挖矿域名或相关字符串:

  判断挖矿进程的存在需要一定的经验,不一定占用CPU高、导致卡顿的进程都是挖矿进程,要注意区别是否为系统配置问题导致的卡顿。通常情况下,挖矿木马都会有系统驻留模块,会通过计划任务、服务等方式不断的拉起恶意进程,因此仅结束进程不一定能有效的清除,建议使用专业的安全软件进行处置。

  无文件挖矿主要通过注册表、计划任务等方式将恶意的powershell、cmd命令驻留在系统中,定时拉起,较为明显的现象是出现可疑的powershell或cmd进程,参数中带有恶意的命令:

  通常情况下,无文件挖矿仅通过结束进程是无法完全清除的,系统中可能残留恶意的计划任务:

  C:\Windows\Fonts目录是Windows系统下用于存放字体文件的目录,有一些病毒会将自身的程序隐藏在该目录下,例如Explorer一键挖矿,正常使用资源管理器在Fonts目录下无法查看到木马文件,需要借助PCHunter工具查看。

  如发现Fonts目录下出现arial、Logs、temp、ttf目录,建议立即使用杀毒软件进行全盘扫描和查杀,或参考附录explorer一键挖矿的处置方法手动清除。

  网页挖矿是指攻击者将挖矿木马植入正常网站,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令。

  网页挖矿的主要特征为,访问挖矿站点时,CPU使用率会剧增,退出挖矿站点访问后,CPU使用率瞬间下降:

  驱动挖矿是指挖矿木马通过注册驱动的方式驻留在系统中以确保持久性,ProtectionX挖矿木马就是其中一种,除了自保护和自启动外,还会释放安装驱动文件,木马运行流程如图:

  同时会在temp目录下释放随机字符命名的驱动文件,并通过注册成服务hy5.5,对应的注册表键值如下:

  Docker是指攻击者将挖矿程序打包到Docker镜像中,上传到Docker Hub,当用户pull下来运行使用时,挖矿进程就偷偷的执行了,下面给出一个Docker挖矿的排查示例。

  某些挖矿木马会集成一些比较复杂的僵尸网络或木马程序来达到相互下载、持久驻留的目的,如Mykings僵尸网络、Mirai僵尸网络、暗云三大家族捆绑传播,会利用SQL SERVER弱密码入侵用户主机,捆绑下载该三种木马程序。

  主机遭到感染时,除了MBR遭到感染、生成恶意WMI、服务、计划任务外,数据库中还会残留恶意的作业和存储过程,用于定时执行恶意命令,下载组合木马的其他模块。

  除了恶意的数据库作业和存储过程,主机上可能还有其他残留的恶意文件和注册表项、WMI等,都需要进行清理:

  Mykings木马在不同的主机环境上的具体表现可能会不同,需要详细的排查和处置才能完全清理,详细排查可参见附录。由于目前的杀毒软件都不会清理数据库中的内容,如发现主机感染Mykings木马,应及时联系专业的安全人员进行排查和处置。

  1.定期对系统进行漏洞扫描,及时修复漏洞,特别是挖矿木马常用的“永恒之蓝”漏洞;

  深信服下一代防火墙通过提出“融合安全,简单有效”价值主张,为用户业务提供全生命周期保护,真正实现全程可视和全程保护。

  深信服安全感知平台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。

  深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。

  打造云网端一体的联动防御体系,通过海量数据汇聚,在安全能力上结合大数据、人工智能、多引擎、云计算等核心技术构建全局的安全能力中心。

  先进的风险管理技术、丰富的信息咨询经验、专业化的人才优势及庞大的资源库,为客户提供量身定做并与国际接轨的专业咨询服务,包括等级保护实施、安全技术控制、IT风险评估、渗透测试、应急响应、IT治理咨询、IT审计(稽核)外包等服务。