黑客利用矿池代理躲避封杀
前言:
2017结束了 2018年也刚刚开始 去年 挖矿事件的大爆发
也让国内外网络安全厂商不断关注数字货币 区块链技术
安全厂商为了对抗 挖矿 比如360给自己的杀毒软件添加了 拦截挖矿的插件
而且更主要的事情是 国外安全厂商 也在一些比较大的挖矿僵尸网络里面获取挖矿样本 把
钱包地址 提取出来 并联系矿池的 管理人员 停止支付僵尸网络的钱包地址 来打击作者
不过在金钱的诱惑下 怎么可能罢手呢
MS016小组 在搜索全球网络中 在一台Linux机器里面发现了 可疑的目录 中的文件 并打包下来研究
先来看看loader.sh 脚本里面内容
这个脚本是攻击者利用 公布不久的漏洞 批量测试 传马留下的
这段命令很明显是下载命令
http://bigbatman.bid/gcc 域名下的 gcc文件
gcc文件是什么 没有后缀 利用反汇编工具 检查PE格式 是elf文件
在里面查到了stratum这样的字符串 这个肯定是 Linux下的挖矿程序
友情说明: Linux下的挖矿程序可以兼容 x86 x64
把挖矿程序放在Linux下运行后 知道用的挖矿软件是xmrig
其实挖矿程序有很多 根据门罗算法写的
上面是三种门罗挖矿程序
攻击者使用的是xmrig
接下来看看http://bigbatman.bid/config_1.json
网站下的config_1.json配置文件
config_1.json文件是 挖矿软件 中的配置文件
看主要二段 url 是矿池 而且user 并没有添加钱包信息 可以说明这个地址是黑客的代理
直接代理挖矿 这样更难溯源黑客的算力 和收入信息 而且有效可以抗击 安全厂商的打击
友情提示:随着门罗币全网算力难度 增大 2018 黑客也会找一些门罗币一样算法的新币来 获利
QQ交流群:176418830 欢迎交流
@感谢刀仔提供资料