随着“炒币热”兴起,虚拟市场开始不断涌出多种基于区块链技术的虚拟币。目前,一枚比特币的价格已高达1.6万美元,谁能想到今年年初价格只有不到 1000 美元!其实,不光比特币涨势惊人,“莱特币”、“以太币”等其他“虚拟货币”(又称“加密货币”)的价格更是翻了近百倍。
面对“虚拟货币”如此诱人的巨大利益,不法分子开始尝试“不同寻常”的挖矿之路。让众多受害者电脑沦为不法分子的“矿工”。受害者电脑出现CPU资源占用飙升,通常达到75%以上,电脑性能变差,发热量上升等问题。针对近期挖矿病毒肆虐,亚信安全为用户提供样本提取方案及产品解决方案。
盘点:近期典型挖矿病毒攻击案例
-
通过流氓软件推广挖矿工具,该软件除了把用户电脑当“肉鸡”进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产“零币”)。
-
黑客也将挖矿瞄向了网站,在网站中植入脚本进行在线挖矿,通过浏览器访问这些站点时挖矿脚本便会在后台执行,占用大量CPU,电脑因此会变慢或卡顿,严重影响了用户的上网体验。
-
基于Web的恶意挖矿软件最大的缺点就是无法在目标系统中持续挖矿,当用户关闭了浏览器之后,其挖矿活动将会停止。但是,近期研究人员发现了一种新型浏览器挖矿技术,而这种技术可在浏览器窗口关闭的情况下持续挖“门罗币”。
-
基于不同系统平台的挖矿软件也悄然兴起,近日macOS平台发现新型加密货币挖矿木马。该恶意软件在感染了目标设备之后,会悄悄下载挖矿程序,并利用目标用户的硬件设备来挖“门罗币(Monero)”。
采矿病毒样本如何提取?
针对Linux系统CPU资源占用飙升,电脑性能变差,发热量上升等问题,可以通过如下方法进行可疑文件查找。
1.查看crontab计划任务
命令:crontab -l
发现任何额外添加的计划任务都进行删除操作。(请将内容保存出来以便我们分析)
编辑命令 crontab -e
2.查看最大cpu占用进程
命令:top
我们看到进程wnTKYg(命名不一)的占用CPU很大。其PID是3545
可以用命令:ps -ef | grep 3545 找到该进程路径(同时其他CPU占用不高的未知进程也需要排查)或者直接使用进程名进行查找
命令:ps -ef | grep wnTKYg找到该进程路径,如下图所示:
我们发现该文件在/tmp/ 目录下,使用命令cd /tmp/ 进入目录内
创建目录virus的样本目录sample
Mkdir –p /virus/sample
将样本放入virus样本目录
Mv wnTKYg /virus/sample/sample1
Mv ddg.2021 /virus/sample/sample2
加密样本
zip -rP virus sample.zip /virus/sample/
将/virus/sample/sample.zip文件提供给我们,给予最低权限以免误执行
chmod 000 /virus/ -R
排查/etc/rc.local 内容是否有开机自启以免出现再启动下载
3.处理完后,静置观察
一般以计划任务的时间为参照,观察 10到15分钟。
4. 确认无复发
可以更改弱口令,禁止root登录,禁止22端口对外开放。
亚信安全教你如何防范
亚信安全截获了与挖矿病毒相关的URL,建议用户通过TDA、DS或者DE产品设置,拦截相关URL:
-
xmr.pool.minergate.com
-
www.api2.hjbkfwejhkfbj2334f.pw
-
pool.minexmr.com
-
pool.minemonero.pro
TDA产品设置
管理–监控/扫描–拒绝列表,在拒绝列表中添加上述URL
DS产品设置
Web信誉–例外–已阻止中添加上述URL
DE产品设置
策略–对象–URL类别–定制URL类别中添加上述URL
Officescan产品设置
挖矿程序虽然属于合法程序,但是该程序在用户系统环境中出现属于异常现象,所以我们建议用户将如下挖矿程序加入Officescan黑名单:
-
Xmrig.exe
-
Carbon.exe
客户端–行为监控设置–在阻止列表中添加上述两个文件。
行业热点:
了解亚信安全,请点击“阅读原文”