我猜你还不知道什么是挖矿木马？

admin管理员组

文章数量:1591684

目录

自查挖矿木马

样本基本信息

​编辑 木马功能分析

该木马的清理

​编辑预防防护中挖矿样本

网络安全学习路线 （2024最新整理）

学习资料的推荐

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明：

---

挖矿木马木马木马主要就是通过利用各种手段，将挖矿程序植入到用户的计算机中，在用户不知情的情况下，偷偷利用用户的计算机进行执行挖矿功能，从而获取收益。

以下情况是用户中木马的高频事件：

1.用户往往在不注意的时候，下载并运行了来历不明的破解软件或不安全软件;

2.用户点击运行了钓鱼邮件中的附件的文件;

3.用户没有做好系统及时更新，通过系统漏洞传播;

4.用户浏览了植入挖矿脚本的网页，浏览器就解析脚本进行挖矿。

现在的挖矿木马存在种类非常多常见的如：普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker 模式的挖矿程序。

自查挖矿木马

1.cpu 的使用率，中了挖矿木马，因为会在系统中运行挖矿程序，使得计算机在正常运行下会变得非常卡顿，并且 CPU 的使用率会变得非常高，甚至会达到 100%。

2.通过杀毒软件进行全盘查杀，如果计算机中有存在挖矿木马的样本程序，杀毒软件一般情况下是可以查杀。

3.通过抓包工具(Wireshark）进行查看分析流量，从流量中去分析排查可疑的流量数据包。

样本基本信息

通过 hash 工具获取都挖矿木马样本的 MD5、SHA1、CRC32 数据。

该挖矿样本是控制台窗口的应用程序，通过 ExeInfo PE 工具中的区段信息，可以看出该样本采用了 UPX 压缩壳进行对样本保护，并且该样本程序是 64 位的应用程序。

 

通过火绒病毒查杀软件，进行扫描查杀该样本程序，可以从下图看到，该样本是属于 Coinminer 团伙研发的挖矿病毒样本程序。

 木马功能分析

分析样本需要工具：虚拟机 VMware、IDA、X64dbg、pchunter、WireShark 等工具。脱 UPX 压缩壳方法：单步调试法、内存访问断点法、堆栈平衡法。

通过单步调试法进行脱 UPX 壳，样本加载进 x64dbg 工具后，就单步 F8 方式，一直单步运行，通过观察程序的相对地址，直到跳转到原程序的 OEP 位置。那么再将内存数据 dump 下来就可以了。

样本的主要功能：通过循环遍历创建控制台文件，写入数据到文件，启动控制台文件。通过利用系统函数 CreateFileW 进行创建文件名称设置为 7 个字母的随机名称的文件，并通过 WriteFile 函数，将原始样本内数据拷贝到新创建的进程文件中，最后通过调用系统函数 CreateProcessW 函数进行启动样本。

 下图是 x64dbg 调试工具中执行 CreateFileW 进行创建文件。

拼接生成的随机文件名称。

 已在指定的目录下成功的生成了应用程序。

 最后在通过调用 CreateProcessW 进行启动创建的应用程序。

 执行完以上功能后，最终的效果如下图所示。

通过拼接 json 格式，并以 http 协议方式进行发送数据。

 从上面的 json 格式中可以很清晰看到 访问请求的 ip 地址很端口号：3.120.98.217:8080。接下来反查这个 ip 地址信息，可以看到这个 ip 地址指向的是德国的。

 

在通过 360 威胁情报中心https://ti.360/#/homepage进行更详细查询这个 ip 地址相关的信息。从下图可以看到这个 ip 地址是属于 Coinminer 家族的 挖矿样本，并且查询到的相关联的样本也并不少。

该木马的清理

通过将 C:\Windows\system\目录下，所有随机名称的应用程序文件进行删除。就可以清除掉这个挖矿样本所遗留的应用程序。

预防防护中挖矿样本

1.在计算机中安装病毒查杀软件(火绒、360 杀毒)，并及时更新病毒查杀软件的病毒库，还需做好定时全盘查杀病毒。

2.及时做好计算机系统补丁的更新。

3.服务器、主机、数据库等使用高强度的密码口令，切勿使用弱口令，防止被暴力破解。

4.网络上不要去随意下载、运行来历不明的程序或者破解程序，不随意点击来历不明的链接。

 

网络安全学习路线 （2024最新整理）

 如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言扣1或者关注我我后台会主动发给你！ 

第一阶段：安全基础

网络安全行业与法规

Linux操作系统

计算机网络

HTML PHP Mysql Python基础到实战掌握

  第二阶段：信息收集

IP信息收集

域名信息收集

服务器信息收集

Web网站信息收集

Google hacking

Fofa网络安全测绘

 第三阶段：Web安全 

SQL注入漏洞

XSS

CSRF漏洞

文件上传漏洞

文件包含漏洞

SSRF漏洞

XXE漏洞

远程代码执行漏洞

密码暴力破解与防御

中间件解析漏洞

反序列化漏洞

 第四阶段：渗透工具 

MSF

Cobalt strike

Burp suite

Nessus   Appscea   AWVS

Goby   XRay

Sqlmap

Nmap

Kali

 第五阶段：实战挖洞 

漏洞挖掘技巧

Src

Cnvd

众测项目

热门CVE漏洞复现

靶场实战

学习资料的推荐

学习框架已经整理完毕，现在就差资料资源了，我这里整理了所有知识点对应的资料资源文档，大家不想一个一个去找的话，可以参考一下这些资料！

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明：

此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。

本文标签： 我猜你还不木马挖矿