黑客利用礦池代理躲避封殺
前言:
2017結束了 2018年也剛剛開始 去年 挖礦事件的大爆發
也讓國內外網絡安全廠商不斷關註數字貨幣 區塊鏈技術
安全廠商為了對抗 挖礦 比如360給自己的殺毒軟件添加了 攔截挖礦的插件
而且更主要的事情是 國外安全廠商 也在一些比較大的挖礦僵屍網絡裏面獲取挖礦樣本 把
錢包地址 提取出來 並聯系礦池的 管理人員 停止支付僵屍網絡的錢包地址 來打擊作者
不過在金錢的誘惑下 怎麽可能罷手呢
MS016小組 在搜索全球網絡中 在一臺Linux機器裏面發現了 可疑的目錄 中的文件 並打包下來研究
先來看看loader.sh 腳本裏面內容
這個腳本是攻擊者利用 公布不久的漏洞 批量測試 傳馬留下的
這段命令很明顯是下載命令
http://bigbatman.bid/gcc 域名下的 gcc文件
gcc文件是什麽 沒有後綴 利用反匯編工具 檢查PE格式 是elf文件
在裏面查到了stratum這樣的字符串 這個肯定是 Linux下的挖礦程序
友情說明: Linux下的挖礦程序可以兼容 x86 x64
把挖礦程序放在Linux下運行後 知道用的挖礦軟件是xmrig
其實挖礦程序有很多 根據門羅算法寫的
上面是三種門羅挖礦程序
攻擊者使用的是xmrig
接下來看看http://bigbatman.bid/config_1.json
網站下的config_1.json配置文件
config_1.json文件是 挖礦軟件 中的配置文件
看主要二段 url 是礦池 而且user 並沒有添加錢包信息 可以說明這個地址是黑客的代理
直接代理挖礦 這樣更難溯源黑客的算力 和收入信息 而且有效可以抗擊 安全廠商的打擊
友情提示:隨著門羅幣全網算力難度 增大 2018 黑客也會找一些門羅幣一樣算法的新幣來 獲利
QQ交流群:176418830 歡迎交流
@感謝刀仔提供資料
黑客利用礦池代理躲避封殺