专栏名称: 安天集团
安天是引领威胁检测与防御能力发展的网络安全国家队,依托自主先进核心技术与安全理念,致力为战略客户和关键基础设施提供整体安全解决方案。安天产品和服务为客户构建端点防护、边界防护、流量监测、导流捕获、深度分析、应急处置等基础能力。
今天看啥  ›  专栏  ›  安天集团

app Miner挖矿木马活动分析

安天集团  · 公众号  · 互联网安全  · 2024-11-07 18:00

主要观点总结

文章描述了近期发生的一起挖矿木马攻击事件,该木马名为“app Miner”,由安天CERT监测到。木马从2024年3月开始出现并持续更新攻击脚本,攻击流程包括执行功能模块、下载挖矿程序、设置挖矿配置文件等。文章还提供了关于攻击的技术细节和防御建议,以及相关的IoCs信息。

关键观点总结

关键观点1: 挖矿木马“app Miner”的出现和持续更新

该木马从2024年3月开始出现,并持续更新攻击脚本,旨在尽可能独占资源进行挖矿,不影响受害操作系统稳定性。

关键观点2: 木马攻击的主要流程

木马首先执行一系列功能模块,如估算门罗币挖矿的哈希率,动态调整CPU功率,查找可写的目录等。然后从指定URL下载挖矿程序,设置挖矿配置文件进行挖矿。

关键观点3: 木马的功能模块和技术细节

木马具有根据CPU线程数估算门罗币挖矿的哈希率、动态调整CPU功率、遍历指定目录、格式化文件名、查找竞品挖矿进程等功能。此外,还包括计划任务函数、服务函数、进程检查函数等。

关键观点4: 防御建议

针对挖矿攻击,企业应采取的防护措施包括安装终端防护、加强SSH口令强度、及时更新补丁和第三方应用补丁、开启日志、主机加固、部署入侵检测系统等。

关键观点5: IoCs信息

提供了相关的IoCs信息,包括IP地址、哈希值等。


文章预览

点击上方"蓝字" 关注我们吧! 01  概述 近期, 安天CERT 监测到一起挖矿木马攻击事件,该挖矿木马从2024年3月开始出现,并持续更新攻击脚本。该攻击脚本针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具,如果有则使用这些工具下载挖矿程序,如果没有会进行下载适配、对CPU进行一个合理的功率限制,确保不会影响正常操作和业务等等。总之,该挖矿木马会尽可能的独占资源进行挖矿,且一定程序不影响受害操作系统稳定性。因其在脚本中多次出现“app”字符串,故 安天CERT 将该挖矿木马命名为“app Miner”。 经验证, 安天智甲终端防御系统可实现该挖矿木马的有效查杀。 02  攻击流程 app Miner挖矿木马首先会执行一系列功能模块中的功能,如根据CPU线程数估算门罗币(Monero)挖矿的哈希率、根据不同的系统动态 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览