1、什么是挖矿
挖矿是指利用计算机硬件,通过特定算法来计算并锁定虚拟货币,并进行收取的过程。用户通过挖矿,来积累虚拟货币,并通过虚拟货币交易所兑换为各国法定货币,从而实现收益的转换。区块链挖取的数字货币,可能是比特币,以太坊等热门货币,也有可能是一些冷门的山寨货币。挖矿木马一般分为网页挖矿和可执行文件挖矿两类。
2、挖矿木马一般渗透过程
(1)攻击者通过弱口令爆破、系统和应用漏洞、僵尸网络、盗版软件/游戏捆绑木马等方式入侵被害主机。
(2)攻击者在入侵成功一台主机后,使用NSA工具包、Hacktool等进行内网横向渗透,控制更多主机。
(3)攻击者在入侵主机上安装诸如XMRRig等挖矿程序,并通过修改操作系统计划任务,启动项等行为控制受害主机进行挖矿。
(4)攻击者还可以通过卸载防护软件,修改常用top、ps等命令方式掩盖挖矿行为。
3、如何对挖矿木马进行自查
(1)收集矿池情报,并在网络出口处进行封禁;也可以通过在内网防火墙或校内DNS服务器接入云端安全DNS的方式,通过云端安全DNS提供的矿池情报准确发现挖矿情况。
(2)对挖矿协议进行分析,诸如Stratum、Getwork等挖矿协议使用非加密方式进行传输,可以通过在网络出口处部署IDS等流量监测设备发现校内挖矿主机和矿池地址。
(3)对主机行为进行分析,通过在服务器、主机上部署监测终端(如zabbix),可以发现CPU、GPU等异常情况,及时进行挖矿木马的检测。一般挖矿木马所在主机CPU占用率长期较高,特征较为明显。但最近也出现了占用硬盘进行挖矿的木马,因此也需要对硬盘占用情况进行监测。