门罗币挖矿事件简单分析 – 作者:codeForFuture

大家好,今天给大家分析一个门罗币挖矿事件。近日通过本公司的监测引擎发现客户的网站被植入门罗币挖矿程序并对起进行分析,由于涉及客户隐私分析过程,只能引用测试ip来做分析。

今日通过监测平台发现IP127.0.0.1疑似遭到黑客攻陷,被植入coinminer门罗币挖矿可以程序、被植入BillGates后门。因该IP经过为一对多地址转换,实际感染主机数量无法探明,建议对转换为127.0.0.1的源主机进行全部排查。

(1)检测到IP 127.0.0.1被植入Coinminer挖矿恶意程序,连接矿池服务器。

攻击事件说明:CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。 它会利用WMI(WindowsManagementInstrumentation)在感染的系统上运行命令,并且会使用永恒之蓝漏洞(MS17-010)进行传播。

image.png

图:127.0.0.1连接门罗币矿池

image.png

图:传输参数解码 

监测结果:经分析,127.0.0.1被植入挖矿病毒木马的主机经常与以下IP进行通讯,访问网站确认为Monero (XMR) 门罗币平台,127.0.0.1访问远端服务器传输参数中带有明显的登录特征,例如上图中,包含”login””pass:x”字段。

以下为平台探知127.0.0.1连接过的矿池服务器IP。

l  116.211.169.162

l  139.99.120.50

l  159.65.202.177

l  163.172.204.213

l  163.172.205.136

l  176.9.50.126

l  94.130.206.79

l  94.23.212.204

image.png

图:矿池服务器访问截图

整改建议:建议使用最新杀毒软件或专杀工具清除木马,并截断与恶意网站通讯连接。 

(2)检测到IP 127.0.0.1上报BillGates后门连接事件

事件简述:BillGates恶意程序是针对Linux服务器的一种相对老的恶意程序家族,它可以将感染的服务器连接起来创建一个僵尸网络。BillGates僵尸网络支持发动ICMP 洪水、TCP洪水、UDP洪水、SYN洪水、HTTP洪水和DNS反射洪水攻击。

监测结果:目前发现的攻击源有1个地址

序号 攻击IP 地区 发生次数
1 142.0.138.117 美国加利福尼亚 30

142.0.138.117  →攻击目标  →127.0.0.1

image.png 受影响系统

序号 公网IP 系统名称 发生次数
1 127.0.0.1 127.0.0.1 30

整改建议:建议使用最新杀毒软件或专杀工具清除木马,并截断与恶意网站通讯连接。

通过本公司监测引擎发现此问题,以上只是简单的分析思路希望大家多多关注。

分析思路过程:

发现恶意地址+分析恶意地址+恶意IP、域名、信息收集+信息验证、客户数据提取=简单事件分析。

来源:freebuf.com 2018-08-29 10:02:01 by: codeForFuture

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论