针对挖矿木马的一些基本认识
目录
区块链
什么是挖矿
为啥要挖矿
什么是矿池
什么是挖矿钱包
怎么发现和预防
区块链
区块链是一种分布式的数据库,区块链中每一个区块可以用来记录多笔交易数据(如比特币的交易数据,A->B转账1个bit币),多个区块以链条式的方式串联在一起,就可以称为区块链。比特币就是利用区块链技术来实现去中心化。相当于你下载比特币客户端后,客户端就会自动从互联网上下载现有的区块链,类似于你拿到了比特币所有以往的交易账本。区块链在线演示平台
上图就是一个区块链,共有3个区块,单个区块中有区块编号、随机值、交易数据data、prev前一个区块的hash值,hash 当前区块的hash值,修改任意一个字符,hash值也会随之改变。
什么是挖矿
挖矿可以简单理解成计算当前区块的hash值,而计算hash值的人称为矿工。
比如现实中,A需向B转账了100元,那么A将这条信息发布出去(A->B 支付100元),
矿工拿到这条交易数据,就会查看区块链找到A的所有转账记录(区块链可以理解成账本),计算A账户中是否有足够的钱,有的话那么这条记录就会被矿工写到区块的交易数据区,计算hash值,生成新的区块发布到互联网,一旦被其他节点认可那么这个新区块就会添加到区块链的末尾,同步更新,B过一段时间后从区块链中找到A转账给自己的记录,并且确认区块合法,那么B就可以认为此次转账成功。
既然生成一个hash值如此容易,那么我们印象中的挖矿难是啥原因呢?
主要是因为对区块的hash值有一定的要求,比如要求hash值前4位为0的新区块才算合法区块,才能被其他节点认可,那么就需要修改区块里面的数据,在当前区块中交易数据不能修改(区块链的核心目的就是为了记录和保存真实的交易数据,如果能让你修改交易区数据,区块链就没有存在的意义了,保证交易数据的不可篡改可以理解为签名式验证,就比如某矿工抄错了某笔交易,别的节点在收到这个错误的区块的时候会主动验证里面的交易数据,发现错误,并舍弃,因为单笔交易数据是每个节点都能查询到的),那么矿工能修改的也就只有随机值了,矿工通过修改随机值来不断的生成hash值,直到hash值前4位为0。如上图中,区块1 随机值105500,区块2中的19200。
为啥要挖矿
以比特币为例,如果没有没人挖矿,就生成不了新的区块,区块链就不会增加,那么比特币就没法进行交易,无法进行流通。
为了保证不断有人进行挖矿,不断有新的区块产生,保证区块链的增长,比特币创始人就说谁在10分钟内生成新的区块并被其他节点认可,那么就会给挖矿的人一定的比特币奖励。这个时候就是拼计算机的运算速度了,为了保证10分钟左右才能生成新的区块,比特币会不断的调整挖矿的难度,比如这个周要求hash值前4位为0的才算合法,那么下周调整为前5位为0的新区块才算合法,那么难度就会不断的加大。全球矿工同时挖矿,拼的就是谁先挖到矿(生成新的区块)。
什么是矿池
矿池大家可以理解为很多挖矿机组成的一个整体,因为硬件的提升,以及每10分钟内全球只有一个新区块能够被认可,那么很多私人靠单一的计算机运算量很难在短短10分钟内生成新得区块,那么就把很多挖矿机器组合到一起,由矿池统一分发任务,一旦生成新的区块,那么矿池就会根据每台机器的功劳进行分发奖励,矿池就类似于集资分红,比如某个矿池在某个时间段生成新区块并被认可,比特币创始人给了10个比特币给矿池,那么矿池可能扣掉手续费1个比特币,把剩下的9个比特币按照功劳分发给矿池里的矿工。
什么是挖矿钱包
比特币在实际的交易中用户的名称是一串很长的字符串,类似于银行卡号,比如新创建的账户,那么里面的比特币的额度就是0,如果你利用木马等手段找肉鸡进行挖矿,现在一般的都是加入矿池进行挖矿,那么如果挖矿成功了,那么矿池的钱包账户就会向你的钱包里面转0.1BIT,那么你卡上就是0.1个比特币。
怎么挖矿
github上都有相应的开源挖矿软件或源码,搜都一大堆,这边主要看一下挖矿木马的通信流量是什么样子的?
如上面2个图中,wireshark抓包,右键查看TCP流,可以看到类似于JSON格式的通信数据,如上图里面key: login对应42d4…开头的一串值,这个就是挖矿钱包,挖矿源码是XMRig,通过这个钱包很难查到这个钱包的拥有者,只能查到当前钱包有多少额度,隐蔽性很高,所以比特币常被用来进行非法交易,洗钱勒索啥的。
怎么发现和预防
日常生活中碰到很多挖矿的程序,直接一上来就消耗全部资源进行挖矿的木马程序相对比较少,大部分都是在受害端空闲的时候进行挖矿,受害者活动时间呢挖矿程序是停止的,这样有很强的隐蔽性,很多客户机器中招了1~2年后才被发现都是常态,很多时候杀毒都没用,因为很多木马在植入的时候就加入系统或者杀毒软件白名单了,而且挖矿很多时候并不存在恶意的攻击行为,不会像远控或者病毒蠕虫之类的进行破坏操作。
后面抽空会找一个具体的挖矿木马,写一些用Pchunter进行手工处理的文章。
目前常见的发现处理方式:
1、个人终端杀毒必备,445、139等端口最好关闭;
2、有条件的在网关接口部署态势感知设备或者开源的suricata,把一些常见的矿池地址以黑域名的方式添加进去,同时也可以针对特定的挖矿家族进行特征的提取。(这边我就不写具体的规则了,我看了一下suricata里面的规则,里面就有一些,大家可以去研究一下)
3、Linux系统挖矿木马的处理目前建议使用一些开源的杀毒软件扫一下,然后通过TOP进程定位到挖矿木马进行分析处理。
————————————————
原文链接:https://blog.csdn.net/yuanfengfengyuan/article/details/87275661
针对挖矿木马的一些基本认识相关推荐
- 2019年上半年挖矿木马报告:日均新增6万个木马样本
一.概述 比特币在经历了2018年大幅下跌之后,在2019年上半年又重新恢复上涨,在6月底达到13000美元/BTC,接近历史最高水平17000美元/BTC. 随着比特币的飙升,推动整个数字加密货币价 ...
- 挖矿木马的战略战术分析
前言 比特币等虚拟货币在2019年迎来了久违的大幅上涨,从最低3000美元上涨至7月份的14000美元,涨幅达300%,巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列.阿里云安全团队通过对云上僵 ...
- 云上在野容器攻防战:“杀”不掉的挖矿木马
编者按 数字化浪潮蓬勃兴起,企业面临的安全挑战亦日益严峻. 腾讯安全近期将复盘2022年典型的攻击事件,帮助企业深入了解攻击手法和应对措施,完善自身安全防御体系. 本篇是第二期,讲述了国内某高端制造厂 ...
- 威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”
简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件.除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐 ...
- 云服务器被植入挖矿木马,CPU飙升200%处理方案
云服务器被植入挖矿木马,CPU飙升200%处理方案 1,通过执行top命令,即可在返回结果中看到当时系统的CPU占用率. top -c 2.检查防火墙iptables规则中是否存在可疑端口 iptab ...
- python挖矿木马_kworkerds 挖矿木马简单分析及清理
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助. 现象 top 命令查看,显示 CPU 占用 100%,进 ...
- 网络安全之认识挖矿木马
一.什么是挖矿木马? 比特币是以区块链技术为基础的虚拟加密货币,比特币具有匿名性和难以追踪的特点,经过十余年的发展,已成为网络黑产最爱使用的交易媒介.大多数勒索病毒在加密受害者数据后,会勒索代价高昂的 ...
- 一个名叫aliyun的挖矿木马处理过程
点击箭头处 "蓝色字" ,关注我哦!! 作者 | @hksanduo 来源 | https://hksanduo.club/security/2019/12/19/clean-up ...
- 病毒分析之“驱动人生”挖矿木马分析及其清除方案
"驱动人生"挖矿木马分析及其清除方案 0x00 概述 自2018年12月份"驱动人生"挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次.此木 ...
最新文章
- Python3学习笔记01-环境安装和运行环境
- python 生成器 迭代器 yiled
- snakebar 的使用
- [Effective C++ --029]为“异常安全”而努力是值得的
- 用代理技术实现简单的AOP框架
- openstack 功能_OpenStack Juno的新功能
- Python快速教程 尾声
- 按键消抖的原理与解决方案浅论
- 使用EXCEL进行线性回归
- python下载安装教程(官网)
- 开机netmeeting已删除_NetMeeting
- 计算机找不到链接打印机主机,电脑连接打印机厂商型号没有怎么办
- 美团2018校园招聘内推笔试代码分享
- pdf密码忘了怎么解除
- 我在首席数据官年会上的演讲实录
- set java_opts怎么加,tomcat中配置文件之setenv.sh
- 计算机网络相关论文目录怎么弄,Word如何自动生成目录 论文排版必备小技巧
- flex简介——css
- 微信公众平台如何给粉丝分组打标签?
- 手机如何拍出中背景模糊虚化的拍摄技巧