主要观点总结
文章描述了近期发生的一起挖矿木马攻击事件,该木马名为“app Miner”,由安天CERT监测到。木马从2024年3月开始出现并持续更新攻击脚本,攻击流程包括执行功能模块、下载挖矿程序、设置挖矿配置文件等。文章还提供了关于攻击的技术细节和防御建议,以及相关的IoCs信息。
关键观点总结
关键观点1: 挖矿木马“app Miner”的出现和持续更新
该木马从2024年3月开始出现,并持续更新攻击脚本,旨在尽可能独占资源进行挖矿,不影响受害操作系统稳定性。
关键观点2: 木马攻击的主要流程
木马首先执行一系列功能模块,如估算门罗币挖矿的哈希率,动态调整CPU功率,查找可写的目录等。然后从指定URL下载挖矿程序,设置挖矿配置文件进行挖矿。
关键观点3: 木马的功能模块和技术细节
木马具有根据CPU线程数估算门罗币挖矿的哈希率、动态调整CPU功率、遍历指定目录、格式化文件名、查找竞品挖矿进程等功能。此外,还包括计划任务函数、服务函数、进程检查函数等。
关键观点4: 防御建议
针对挖矿攻击,企业应采取的防护措施包括安装终端防护、加强SSH口令强度、及时更新补丁和第三方应用补丁、开启日志、主机加固、部署入侵检测系统等。
关键观点5: IoCs信息
提供了相关的IoCs信息,包括IP地址、哈希值等。
文章预览
点击上方"蓝字" 关注我们吧! 01 概述 近期, 安天CERT 监测到一起挖矿木马攻击事件,该挖矿木马从2024年3月开始出现,并持续更新攻击脚本。该攻击脚本针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具,如果有则使用这些工具下载挖矿程序,如果没有会进行下载适配、对CPU进行一个合理的功率限制,确保不会影响正常操作和业务等等。总之,该挖矿木马会尽可能的独占资源进行挖矿,且一定程序不影响受害操作系统稳定性。因其在脚本中多次出现“app”字符串,故 安天CERT 将该挖矿木马命名为“app Miner”。 经验证, 安天智甲终端防御系统可实现该挖矿木马的有效查杀。 02 攻击流程 app
Miner挖矿木马首先会执行一系列功能模块中的功能,如根据CPU线程数估算门罗币(Monero)挖矿的哈希率、根据不同的系统动态
………………………………