app Miner挖矿木马活动分析

主要观点总结

文章描述了近期发生的一起挖矿木马攻击事件，该木马名为“app Miner”，由安天CERT监测到。木马从2024年3月开始出现并持续更新攻击脚本，攻击流程包括执行功能模块、下载挖矿程序、设置挖矿配置文件等。文章还提供了关于攻击的技术细节和防御建议，以及相关的IoCs信息。

关键观点总结

关键观点1: 挖矿木马“app Miner”的出现和持续更新

该木马从2024年3月开始出现，并持续更新攻击脚本，旨在尽可能独占资源进行挖矿，不影响受害操作系统稳定性。

关键观点2: 木马攻击的主要流程

木马首先执行一系列功能模块，如估算门罗币挖矿的哈希率，动态调整CPU功率，查找可写的目录等。然后从指定URL下载挖矿程序，设置挖矿配置文件进行挖矿。

关键观点3: 木马的功能模块和技术细节

木马具有根据CPU线程数估算门罗币挖矿的哈希率、动态调整CPU功率、遍历指定目录、格式化文件名、查找竞品挖矿进程等功能。此外，还包括计划任务函数、服务函数、进程检查函数等。

关键观点4: 防御建议

针对挖矿攻击，企业应采取的防护措施包括安装终端防护、加强SSH口令强度、及时更新补丁和第三方应用补丁、开启日志、主机加固、部署入侵检测系统等。

关键观点5: IoCs信息

提供了相关的IoCs信息，包括IP地址、哈希值等。

文章预览

点击上方"蓝字" 关注我们吧！ 01  概述 近期， 安天CERT 监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该攻击脚本针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、对CPU进行一个合理的功率限制，确保不会影响正常操作和业务等等。总之，该挖矿木马会尽可能的独占资源进行挖矿，且一定程序不影响受害操作系统稳定性。因其在脚本中多次出现“app”字符串，故 安天CERT 将该挖矿木马命名为“app Miner”。 经验证， 安天智甲终端防御系统可实现该挖矿木马的有效查杀。 02  攻击流程 app Miner挖矿木马首先会执行一系列功能模块中的功能，如根据CPU线程数估算门罗币（Monero）挖矿的哈希率、根据不同的系统动态 ………………………………