记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

2019年上半年挖矿木马报告:日均新增6万个木马样本

一、概述比特币在经历了2018年大幅下跌之后,在2019年上半年又重新恢复上涨,在6月底达到13000美元/BTC,接近历史最高水平17000美元/BTC。随着比特币的飙升,推动整个数字加密货币价格回升,与币市密切相关的挖矿木马开始新一轮活跃。例如2019年3月初开始出现的“匿影”挖矿木马,自出现之后就不断更新基础设施,利用各大图床、网盘传播恶意挖矿程序;“永恒之蓝”下载器木马、WannMiner、BuleHero等挖矿团伙持续出现新的变种,利用各类系统漏洞、服务器组件漏洞快速扩散传播,然后在感染系统植入门罗币挖矿程序。挖矿木马通过完成大量计算,来获得数字加密货币系统的“货币”奖励。在计算的过程中会占用计算机大量的CP
发布时间:2019-07-12 12:25 | 阅读:36675 | 评论:0 | 标签:观察 挖矿

警惕针对SQL的爆破攻击,入侵者会完全控制服务器,挖矿只是小目标

一、概述近期腾讯安全御见威胁情报中心捕获到通过SQL服务器爆破传播的挖矿木马,挖矿团伙将恶意程序保存在HFS服务器,并且将木马程序伪装成为某安全软件。SQL爆破成功后首先通过VBS脚本植入主体程序,主体程序继续下载挖矿程序以及执行各种远控指令。最终导致受害企业遭遇严重信息泄露,而挖矿不过是入侵者的小目标。腾讯御点终端安全管理系统可拦截查杀该病毒。该木马的攻击行动具有如下特点:1.木马主程序伪装成某安全软件及SQL Server相关组件2.木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、摄像头、安全软件等基本信息,并将这些信息发送到远程服务器3.木马具有检举计算机帐户,检举会话、获
发布时间:2019-06-17 12:25 | 阅读:48124 | 评论:0 | 标签:系统安全 挖矿

腾讯安全御见威胁情报中心截获粗鲁的矿工,三种方式猛攻企业网络

一、背景腾讯安全御见威胁情报中心捕获到一个利用多种方式在内网攻击传播的挖矿木马SpreadMiner。该木马会利用永恒之蓝漏洞(MS17-010)攻击内网;利用Lnk漏洞(CVE-2017-8464)通过共享目录和移动存储设备感染传播;同时还对MS SQL服务器进行弱口令爆破攻击。被攻陷的机器会执行Payload植入挖矿木马。因病毒作者在代码多处用词、命名十分粗鲁,腾讯安全专家将其命名为“粗鲁的矿工”。“永恒之蓝”漏洞(MS17-010)自从被黑客组织公开后,一直是最受病毒传播者最青睐的攻击工具,曾被WannaCry等多种著名病毒使用,大多数用户已经修复了此漏洞,但遗憾的是,仍有一部分未修复漏洞的用户(主要是企业用户)
发布时间:2019-06-13 00:25 | 阅读:47256 | 评论:0 | 标签:系统安全 挖矿

Linux 服务器挖矿事件跟踪与修复建议

0x00、背景根据对近期入侵事件排查,大约80%为公有云挖矿事件。而且目前挖矿软件会集中在公有云物理机、GPU主机以及高CPU的云主机上,最终导致公有云底层物理机资源分配紧张,影响到营收。在此背景下,应急响应团队着手调查此类挖矿事件。0x01、脚本分析目前活跃的部分矿池:https://monerohash.comhttps://monero.hashvault.pro/en/xcn1.yiluzhuanqian.comhttp://pool.supportxmr.com/…归纳起来,主要是分两类,第一类为有界面的通过账号能看到收益的正规矿池,只是黑客把它的客户端包含在自己的恶意挖矿linux程序当中。另外
发布时间:2019-04-08 12:25 | 阅读:59692 | 评论:0 | 标签:技术 系统安全 Linux入侵 挖矿

特币挖矿的基本概念

即使你不熟悉比特币投资,也未曾投入过一分钱,但你肯定听过比特币挖矿。因为无论是在比特币新闻中,还是专家的博客文章中,挖矿这个词总是反复不断的出现。那么究竟何为比特币挖矿呢?这正是我们本文要探讨的问题,为了简单起见,本文我们不会深入去揭露复杂的过程,只是让你了解比特币挖矿的基本概念。读完此文,你虽然无法进行比特币挖掘,但你会深刻明白比特币挖矿是如何运作的。比特币挖矿是什么?对于正常的货币,由政府来决定何时印刷,印刷多少来满足需求,但是比特币不归政府所有,也不归任何一个中央组织所有。这就引出了一个问题,谁来制造比特币?答案是任何人。比特币矿工使用特殊软件来解决数学问题,一旦他们成功解决,他们就会得到一定数量的比特币,跟买卖
发布时间:2018-10-30 12:20 | 阅读:73512 | 评论:0 | 标签:其他 挖矿 比特币

伪装成具有挖矿功能的安卓APP,实际目的是为了展示广告

不同种类的加密货币的工作原理及运行方式是不同的。一些加密货币是可以通过挖矿获得的,而一些加密货币是不可以通过挖矿获得的,比如Ripple (XRP), Cardano (ADA)和(USDT)就是不能通过挖矿获得的加密货币。近期研究人员发现一些安卓应用伪装为加密货币挖矿软件,而针对的就是一些不可以通过挖矿获得的加密货币。所以这些应用要么是垃圾软件要么就是恶意软件,一定要提高警惕。研究人员已经不是第一次在安卓应用市场中找到这类挖矿应用了,比如2月发现的Lukas Stefanko就是一个例子。下图是研究人员发现的假意挖矿的加密货币挖矿机安卓应用。上面的虚假挖矿机都是开发者lovecoin创建的,可以注意到其中一些应用是挖
发布时间:2018-10-16 12:20 | 阅读:69562 | 评论:0 | 标签:Web安全 挖矿

SSH 暴力破解趋势:从云平台向物联网设备迁移 | 云鼎实验室出品

导语:近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对攻击时有迹可循,并为其提供可靠的安全指南。上篇报告从 DDoS 攻击的角度揭示了云上攻击最新趋势,本篇由同一技术团队云鼎实验室分享:「SSH 暴力破解趋势:从云平台向物联网设备迁移 」, 以下简称《报告》。 一、基本概念 SSH 暴力破解是什么? SSH 暴力破解是一种对远程登录设备(比如云服务器)的暴力攻击,该攻击会使用各种用户名、密码尝试登录设备,一旦成功登录,便可获得设备权限。本篇报告内容云鼎实验室从攻击现状、捕获样本、安全建议等方面展开。 近些年,新出现了众多入侵系统的手法,比如 Apache Struts2 漏洞利用、Had
发布时间:2018-07-16 13:45 | 阅读:127548 | 评论:0 | 标签:网络安全 DDoS SSH SSH暴力破解 云平台 挖矿 暴力破解

Nigelthorn恶意软件滥用Chrome扩展来加密挖矿和窃取数据

2018年5月3日,Radware用机器学习算法检测到一个0 day恶意软件威胁。该恶意软件通过Facebook的社会工程链接进行传播,并通过滥用Chrome扩展来感染用户,该扩展可以执行证书窃取,加密货币挖矿,点击欺骗等。经过分析,研究人员发现该组织从2018年3月起就开始活跃了,并已经感染了超过100个国家的10万用户。Facebook相关的恶意软件活动已经屡见不鲜了,比如facexworm和digimine,但该组织在此之前还没有被发现的原因是经常改变传播恶意软件的应用和使用了避免被发现的机制。图 1:  恶意软件击杀链感染过程因为原始的Nigelify应用取代了Nigel Thornberry的图片,
发布时间:2018-05-15 12:20 | 阅读:111822 | 评论:0 | 标签:系统安全 挖矿 加密

利用Drupal远程代码执行漏洞(CVE-2018-7600)挖矿技术分析

阅读: 51Drupal站点再一次被利用,这次是为了挖掘加密货币。据安全公司Imperva Incapsula的研究人员称,这个被称为“Kitty”加密货币挖矿恶意软件的恶意脚本利用Drupal中已知的严重远程代码执行漏洞(CVE-2018-7600)不仅针对服务器,还针对浏览器。相关阅读:【漏洞分析】CVE-2018-7600 Drupal 7.x 版本代码执行【漏洞分析】Drupal远程代码执行漏洞(CVE-2018-7600)分析攻击原理在服务器上,攻击者安装一个挖矿程序 – “kkworker” – 挖掘xmrig(XMR)Monero加密货币。但攻击者也正在寻找使用名为me0w.js的挖掘脚本来扩展他们对web应用程序访问者的挖掘工作。他们通过将恶意JavasSript(me0
发布时间:2018-05-09 15:05 | 阅读:146054 | 评论:0 | 标签:安全分享 CVE-2018-7600 drupal漏洞 加密货币 加密货币挖矿 挖矿 漏洞

勒索软件XIAOBA被重新利用于恶意挖矿

目前,加密货币的挖掘工具被恶意软件大量使用,我们已经发现挖矿工具被注入广告平台、热门移动设备以及服务器上。恶意软件的创造者改变有效载荷,以最大限度地获取利润,在这种不稳定的加密货币环境中,他们似乎致力于将挖矿工具整合到自己的恶意软件中。我们现在还发现使用挖矿工具来满足自身需求的二进制感染者。我们最近发现了一种具有加密货币挖掘和蠕虫功能的复杂文件感染情况,在我们的调查中发现了这一文件的两种变体。被确认为XiaoBa(作为PE_XIAOBAMINER被趋势科技检测到),这一特殊的恶意软件与XiaoBa的勒索软件非常相似。然而,勒索软件的代码被重新设计了,增加了新的功能,使其成为一个更具破坏性的加密货币挖掘工具。这种文件感染
发布时间:2018-04-23 12:20 | 阅读:84791 | 评论:0 | 标签:勒索软件 挖矿

你挖矿,我挖你——绿盟安全态势感知平台变身应对非法挖矿事件“头号玩家”

阅读: 82018年3月30日,在某地市级监管部门,绿盟安全态势感知平台挖矿检测功能一上线,就发现了几处疑似挖矿行为,通过平台的大数据分析能力和溯源能力,最终成功定位几起隐藏极深的变种门罗币挖矿木马事件,并完整重现了事件过程。近年来,虚拟货币 “非法挖矿”事件频频发生,为此,绿盟科技态势感知团队针对性开展了应对 “非法挖矿”事件的专项研究和技术创新。2018年3月30日,在某地市级监管部门,绿盟安全态势感知平台挖矿检测功能一上线,就发现了几处疑似挖矿行为,通过平台的大数据分析能力和溯源能力,最终成功定位几起隐藏极深的变种门罗币挖矿木马事件,并完整重现了事件过程。下面就简单的和小伙伴们分享一下整个事件的始末吧。首先,利用绿盟安全态势感知平台,通过攻击链分析视图,可以发现客户某重要资产IP最近两天正在发生网络恶意活
发布时间:2018-04-16 20:05 | 阅读:77679 | 评论:0 | 标签:安全分享 TSA 挖矿 绿盟安全态势感知平台 绿盟科技 网络入侵威胁 非法挖矿

与恶意挖矿攻击技术斗智斗勇,了解恶意挖矿脚本是如何逃避黑名单拦截的

当Coinhive于2017年9月首次推出时,安全人员只需通过在HTML源代码中查找引用Coinhive API的几行代码,即可发现该浏览器是否受到恶意挖矿脚本的攻击。恶意挖矿脚本之所以会被如此轻易的检测到,是因为当时Coinhive还是一种新生事物,所以即使是最差的挖矿工具也可以明目张胆的将脚本挂在入侵的网站上,在用户的电脑上工作,占用大量的系统资源。Coinhive挖矿技术的升级史但是,随着广告拦截以及安全公司开始研发出对应的检测机制,Coinhive受到了阻碍,所以攻击者也更加努力地在通过各种技术掩盖他们的恶意脚本代码。最近,网络安全公司Sucuri的安全专家的就发现了在运行不同风格的内容管理系统的受攻击网站中,
发布时间:2018-03-28 12:20 | 阅读:84451 | 评论:0 | 标签:Web安全 挖矿

技术研究 | JbossMiner 挖矿蠕虫分析

前言从2013年的诞生,到2016爆发,挖矿(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑。据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻。当比特币全网算力已经全面进入P算力时代,也就意味着需要有相应计算能力的设备高速运转,不间断地暴力验证和工作,来支撑矿工们的“野心”。自2017年11月以来,阿里云安全监控中心成功捕获到一系列的同源挖矿事件,被感染的主机中发现了名为F-Scrack-Jexboss的恶意文件,用于执行挖矿任务,并对外扫描扩散。本次受害主机以Jboss服务为主,我们将其命名为“JbossMiner”。通过监控JbossMiner相关情报,阿里云安全
发布时间:2018-03-22 12:20 | 阅读:117693 | 评论:0 | 标签:技术 挖矿

别听风就是雨–记ADB.Miner安卓设备挖矿事件探究

0x01 前言 ADB.Miner安卓设备挖矿这件事情还是在年前的2月8号,360安全团队,发布安全预警,看到这消息,其实很吓人,公网上暴露的安卓设备如果都用来挖矿,这不是发了?于是我在公网上启动了国内网段扫描,看看到底有多少设备暴露,蹭一下热点。 0x ...
发布时间:2018-02-22 17:20 | 阅读:150432 | 评论:0 | 标签:移动安全 adb 挖矿

数千知名国内网站被挂挖矿脚本,中招机器CPU资源会被大量占用

日前,360云安全系统监测到,国内的****DSP广告平台被嵌入了挖矿脚本,该脚本随广告平台投放的广告一起插入到了网页中,进而传播。当该嵌入了挖矿脚本的广告代码被加载起来,无论用户是否点击查看广告,均会自动触发挖矿代码的执行。该挖矿页面单日访问量逾百万次,多家知名站点受到影响,中招机器CPU资源会被大量占用,直接影响系统正常运行。
发布时间:2018-02-08 17:20 | 阅读:159054 | 评论:0 | 标签:技术 挖矿

CoffeeMiner:劫持WiFi网络接入设备进行“挖矿”的框架

几个星期以前,我看到了网上关于黑客劫持星巴克WiFi网络中的笔记本电脑进行“挖矿”的报道,非常有意思,结合分析,我认为,还能用中间人MITM测试方式来实现类似目的。本文中我们就来讨论,如何以MITM方式在html页面中注入javascript,让那些接入公共WIFI的电子设备成为黑客手中的“挖矿”矿工。最终我会编写一个实际的被称为“CoffeeMiner”的脚本,可以用它来在咖啡店等公开WIFI网络环境中进行匿名渗透,实现掌控大量电子设备开展“挖矿”目的。 测试场景 要在在一个公开的WIFI网络环境中实现该种目的,CoffeeMiner测试者要试图拦截用户和路由器之间的流量,如下所示: 场景设置 真实场景中,WIFI网络中接入了各种智能手机或平板电脑,为了方便深入分析,我们搭建了一个虚拟网络
发布时间:2018-01-14 00:00 | 阅读:147013 | 评论:0 | 标签:无线安全 CoffeeMiner wifi 挖矿

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云