浅谈无文件挖矿病毒分析与处理

2022-03-13 18:40杨英奎刘春雪
黑龙江气象 2022年4期
关键词:挖矿进程加密

潘 雪,杨英奎,刘春雪

(1.黑龙江省生态气象中心,黑龙江 哈尔滨 150030;2.黑龙江省气象数据中心,黑龙江 哈尔滨 150030)

1 引言

随着社会的发展,互联网技术越来越普及,在新兴技术不断出现的同时, 针对新技术的攻击手段也频发、升级和进化,借助于各种手段实施网络安全威胁的介质、方式和载体更是变化莫测,网络安全形势始终不容乐观。 近年来,伴随着加密货币交易市场的发展,以及加密货币的价值不断提升,恶意挖矿攻击已经成为影响最为广泛的一类网络安全威胁, 影响着各大国家机关和企事业单位以及个人用户。

2 挖矿病毒

2.1 挖矿

挖矿本身并不是一种恶意行为, 对于比特币挖矿来说,它是一种计算行为,即利用硬件资源在比特币网络中进行科学计算, 通过计算得出的结果来获得相应的报酬,此报酬即比特币。 随着电子货币的种类越来越多,挖矿的币种也在不断拓展,挖矿的形式和算法也在不断演进。 最初, 挖矿行为主要利用CPU、GPU 等资源进行, 这些硬件资源的成本比较低。 后来,随着加密货币市场逐渐扩大,人们已经不满足于利用这些硬件资源进行挖矿, 而是开始设计出各种专业的挖矿工具, 比如可编程阵列等进行挖矿,这种专业的挖矿工具大幅度提升了挖矿速度[1-3]。

2.2 恶意挖矿

恶意挖矿也叫加密劫持。 加密劫持是一种在未经其同意或不知情的情况下,使用人类设备(电脑、手机、平板或者服务器)来秘密开采受害人资源从而获取加密货币的行为。 攻击者没有建立专用的加密矿计算机, 而是使用加密劫持从受害者的设备中窃取计算资源。 当所有这些资源加在一起时,攻击者就可以与复杂的加密采矿操作进行竞争, 而无须付出昂贵的开销[4-8]。

当前恶意挖矿程序主要的形态分为两种: 第一种是基于开源的挖矿代码的定制化挖矿程序,如XMRig, CNRig, XMR-Stak。 其中XMRig 是一个开源的跨平台的门罗算法挖矿项目, 其主要针对CPU 挖矿,并支持38 种以上的币种。 由于其开源,跨平台和挖矿币种类别丰富, 它已经成为各类挖矿程序的核心。 第二种是嵌入恶意JS 脚本的挖矿网站。 网站被植入恶意挖矿脚本后, 会利用浏览该网站的用户计算机资源进行挖矿获利。 最常见的挖矿网站家族有Coinhive,Jsecoin 等[9]。

3 病毒分析与处理

以无文件挖矿病毒案例, 介绍病毒分析处理过程。

3.1 中毒现象

服务器受无文件挖矿病毒侵害表象为服务器操作卡顿严重,CPU 利用率高达100%;出现多个PowerShell 进程,且手动结束进程后会自动恢复;常规杀毒软件无任何安全提醒,使用HIPS 杀毒软件可追踪异常操作。

3.2 分析处理过程

(1)经检查发现CPU 资源占用过多,对进程逐一排查确定是由于PowerShell 进程导致。 在任务管理器内对其手动结束进程, 等待片刻后PowerShell 进程又再次出现,因此判断其存在自动启动的情况。 鉴于处理期间未重启电脑, 故检查任务计划程序是否正常。 依次点击开始- 所有程序- 管理工具-任务计划程序, 在右侧的操作列表中发现系统已禁用所有任务历史记录, 并在左侧的任务计划程序中出现多个异常命名的计划任务。 点击顶部的操作显示所有正在运行任务, 查看当前计划任务中的运行情况。

(2)经排查确认在任务计划程序列表内出现6 个异常命名的计划任务, 安全选项设定为不管用户是否登录都要运行计划任务。 具体操作为启动Power-Shell 程序并执行命令, 触发器均为触发后无限期间隔1 小时运行。 逐步排查确认全部异常的计划任务列表, 并确认它们的创建起止时间:2020-04-03 16:52:00 - 2020-04-03 16:53:31 为同一时段。 对上述异常计划任务进行导出留存, 导出完成后对其进行删除处理。

(3)删除完成后再次打开任务管理器,对异常的PowerShell 进程进行结束进程操作, 再次检查CPU使用率时确认已恢复正常状态。 通过上述排查确认,该行为通过计划任务执行PowerShell 脚本实现无文件挖矿。

(4)对已获取的6 个.xml 格式的计划任务文件进行分析汇总, 除了在计划任务创建时间以及计划任务启动时间略有差异外, 均使用PowerShell 作为启动程序,执行不同的命令。 针对6 条获取的PowerShell 执行命令进行分析汇总, 可判断出其通过hosts 文件将域名解析至指定的IP 地址。 编辑hosts文 件 确 认 文 件 已 被 修 改, 仅 留 下66.42.43.37 yQtl2uoaKi.jp 一条记录。

因此获知PowerShell 执行命令从下述的6 个地址内获取执行脚本:

http://t.tr2q.com/x.jsp?eb_20200403

http://t.awcna.com/x.jsp?eb_20200403

http://t.amynx.com/x.jsp?eb_20200403

http://BnbqKXaeotF.cn/w.jsp?eb_20200403

http://yQtl2uoaKi.jp/w.jsp?eb_20200403

http://kwC0HVZGv.kr/w.jsp?eb_20200403

通过Ping 和Whios 确认, tr2q.com、awcna.com、amynx.com 三个域名真实存在,但已禁Ping 。而另外三个域名均是虚假地址, 使用Hosts 地址表内的66.42.43.37 IP 进行通信,通过IP 查解析域名获知该IP 绑定过域名t.awcna.com 和p.awcna.com 与上述结论得到证实, 因此推断上述地址实质上均是通过66.42.43.37 下载同一文件, 拦截该地址即可阻断下载。

(5)请求上述地址即可获得x.jsp 文件,从内容看代码已进行加密混淆。 从攻击过程上看可能为通过系统漏洞攻击进入计算机系统, 成功入侵目标计算机后, 通过执行PowerShell 加载下一阶段的后门或木马。

无文件挖矿病毒利用永恒之蓝等漏洞进行传播,可对弱命令的RDP 进行爆破攻击,了解其传播方式后关闭相应端口,对系统进行加固和防护。 具体操作为: 启用防火墙添加135、137、138、139、445、65529 TCP/UDP 出入站特定端口; 检查计划任务中的异常计划任务并删除, 结束进程中PowerShell 全部进程,更新系统安装微软官方提供的漏洞补丁;安装HIPS 安全软件(火绒安全),对系统进行防护,开启注册表防护、以及敏感动作防护,拦截执行Power-Shell 可疑操作。

4 结论

本文介绍了挖矿病毒, 并通过实例对挖矿病毒的分析与处理过程进行了详细的描述, 得出了针对挖矿病毒的防御策略。 本文介绍的方法可为分析处理挖矿病毒提供参考。

猜你喜欢
挖矿进程加密
合力攻坚 全面治理高校“挖矿”
多措并举 全流程整治“挖矿”
一种新型离散忆阻混沌系统及其图像加密应用
债券市场对外开放的进程与展望
一种基于熵的混沌加密小波变换水印算法
改革开放进程中的国际收支统计
挖矿木马的攻击手段及防御策略研究
加密与解密
认证加密的研究进展
社会进程中的新闻学探寻