安基網 首頁 資訊 安全報 查看內容

根據火絨查殺數據發現 挖礦病毒的套路都在這里

2020-7-28 00:58| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 門羅幣、比特幣等虛擬貨幣的應用興起,令挖礦病毒(可利用計算機資源獲取虛擬貨幣)的活動和傳播變得猖獗。而企業作為終端聚集地,早已成為挖礦病毒入侵利用的主要對象。根據今年上半年火絨服務過的企業用戶統計,挖礦病毒占病毒問題數量最多,高達28%。 我們發現,該數據與火絨2019年統計的企業用戶遭 ...

門羅幣、比特幣等虛擬貨幣的應用興起,令挖礦病毒(可利用計算機資源獲取虛擬貨幣)的活動和傳播變得猖獗。而企業作為終端聚集地,早已成為挖礦病毒入侵利用的主要對象。根據今年上半年火絨服務過的企業用戶統計,挖礦病毒占病毒問題數量最多,高達28%。

我們發現,該數據與火絨2019年統計的企業用戶遭遇挖礦病毒攻擊結果相同,均占比第一,為何挖礦病毒能成為企業面對的“頭號病毒”呢?

具有多樣性的傳播方式。挖礦病毒可以通過漏洞、弱口令暴破、軟件捆綁等眾多渠道進行傳播。企業員工安全意識良莠不齊,私自下載運行來歷不明的軟件,或者企業管理員設置的終端與服務器密碼較為簡單,易被黑客遠程暴破等等,這些常見的企業安全隱患隨時都有可能導致挖礦病毒成功入侵或被植入企業網絡

此外,挖礦病毒除了攜帶挖礦模塊外,還會攜帶具有橫向傳播能力的蠕蟲模塊,可以通過企業終端內的漏洞肆意傳播,感染更多的終端。

隱蔽謀利的危害行為。挖礦病毒在運行時,因占用大量系統資源,造成系統卡頓后容易被用戶察覺,所以會使用偽裝成系統文件、無文件持久化等技術保護自身,即使被用戶發現也不會被輕易清除,長時間占用用戶的系統資源,挖礦獲取利益。

雖然挖礦行為并不會像勒索病毒一樣使得業務癱瘓,但會嚴重影響終端性能,造成電腦卡慢,不僅降低員工辦公效率,還會擠占企業服務器運算資源,最終影響整個企業的生產制造。

勤于更新的特點。目前常見的挖礦病毒,多會長期進行更新,比如隨時更換挖礦的幣種、增加更多的傳播方式,通過增加混淆的方式,達到自保的目的。

例如近期“驅動人生”(又名“永恒之藍下載器”、“DTStealer”)木馬就更新了“Lemon Duck”、“Bluetea ”“BlackBall”等多個版本。這也是為何企業內經常出現不同終端內,出現相同挖礦病毒的不同變種情況,讓企業網絡管理人員難以處理。

企業解決挖礦病毒難題,除了提高員工的整體安全意識之外,還需要結合安全軟件進行安全防護。

目前,火絨對流行的挖礦病毒均能掃描查殺,一些具有自保能力的也會有專殺工具進行清除。在防護上,火絨擁有【軟件安裝攔截】、【網絡入侵攔截】等針對上述挖礦病毒主要傳播渠道的功能,有效幫助企業避免挖礦病毒的入侵。

此外,我們根據實際情況,篩選出五類企業較為常見的挖礦病毒,披露感染后的部分主要特征與檢測方式,以及使用火絨解決的辦法,方便企業管理員及時排查處理。

一、DTStealer(又名“永恒之藍下載器木馬”)


1、特點危害

該病毒是目前企業最常見的挖礦病毒之一,自2018年火絨對其進行披露后,至今依舊在更新活躍中。目前已知最新版本為“BlackBall”。

病毒運行后,除了執行挖礦行為,占用終端資源以外,還會竊取終端信息并回傳服務器,并利用釣魚郵件、SMBexec、WMIexec、常見漏洞等方式,在內、外網肆意傳播。

2、感染癥狀

如您的終端出現以下癥狀,極有可能感染了此病毒。

(1)出現以下名稱的任務計劃:

l Drivers

l WebServers

l DnsScan

l Bluetooths

l Credentials

l Rtsa

l 00-00-00-00-00-00或??-??-??-??-??-??(MAC地址)

l Bluetea

l Blackball

(2)以下位置可能會生成的病毒文件:

l C:Windowstempsvchost.exe

l %AppData%Microsoftcred.ps1

l %AppData%flashplayer.tmp

l %AppData%MicrosoftWindowsStartMenuProgramsStartupFlashPlayer.lnk

(3)U盤內出現以下文件:

l blue3.bin

l blue6.bin

l (D-K)blue3.lnk

l (D-K)blue6.lnk

(4)火絨出現"隱藏執行PowerShell"、“利用PowerShell執行可疑腳本”等系統加固攔截

(5)可能會出現的網址訪問攔截:

l beahh.com

l ackng.com

l zer2.com

3、處理方法

目前該病毒的組件模塊,火絨均可查殺。但該病毒內網傳播方式較多,在部署火絨查殺后,還有被其他已經中毒終端攻擊攻擊的可能,出現火絨“文件實時監控”的查殺記錄。

所以在處理此病毒時,多會選擇在企業內統一部署火絨終端,并通過火絨中心下發全盤查殺,在處理中毒終端內的任務計劃、病毒文件后,重啟即可解決。

二、WannaMine

1、特點危害

該挖礦病毒于2017年底被發現,也是企業內較為常見的挖礦病毒、病毒運行后會掃描企業網絡內是否啟用了445端口的終端,并通過"永恒之藍"漏洞在內網橫向傳播,感染更多終端進行挖礦。

2、感染癥狀

如果火絨“文件實時監控”攔截查殺以下目錄內的“永恒之藍”傳播組件,則有可能感染了此病毒。

l C:WindowsSpeechsTracing

l C:WindowsNetworkDistribution

火絨"文件實時監控"查殺此挖礦程序:

l C:WindowsSysWOW64dllhostex.exe

3、處理方法

對此挖礦,只需要部署火絨進行快速掃描,并重啟終端即可,在重啟后可選擇全盤掃描或自定義掃描,處理C盤內的病毒殘留文件。

如企業內有多臺終端出現被感染的情況,以上操作可通過火絨中心下發執行。

三、隱匿者(MyKings)

1、特點危害

隱匿者(MyKings)是由多個子僵尸網絡構成的多重僵尸網絡,除挖礦外,該僵尸網絡還包含DDoS、Proxy、RAT等惡意功能。自2017年以來,該僵尸網絡至今處于持續更新、傳播的狀態。

該病毒會感染MBR,在系統引導時進行加載,加載時機多早于正常的軟件啟動,成功加載后除了執行惡意行為外,還會對自身進行保護。

2、感染癥狀

終端被感染后,會出現以下特征:

(1)安全軟件部署后,無法正常運行

l Sql Server日志內,出現大量"sa"賬戶登陸失敗日志。

l Sql Server的作業內,出現異常定時作業。

(2)出現以下任務計劃

l My

l Mysa

l ok

(3)出現以下文件:

l C:Windowsdebuglsmo.exe

l C:Windowsdebuglsmos.exe

l C:Windowsdebugok.dat

l C:WindowsSystem32ok.exe

l C:Windowstempconhost.exe

l C:WindowsSystemmsinfo.exe


3、處理方法

因MBR被感染,病毒在系統引導時就會進行加載,在已經中毒的情況下部署使用火絨,可能會出現火絨"安全服務異常"的問題。

需使用火絨專殺對MBR進行修復(專殺下載地址:http://bbs.huorong.cn/thread-18575-1-1.html),成功修復并重啟后,"火絨安全服務"即可恢復正常,全盤查殺即可。

四、匿影挖礦

1、特點危害

匿影挖礦于2019年2月被發現,該病毒會利用大量網絡上的公共資源(例如免費圖床)存放病毒模塊。在企業內,會利用"永恒之藍"在內網橫向傳播,感染更多終端進行挖礦。病毒運行后,會利用驅動阻礙安全軟件正常運行,并對自身進行保護。

2、感染癥狀

終端被感染后,出現以下文件:

l C:WindowsTempretboolDriver.sys

l C:WindowsTempFlrefoxDriver.sys

l C:ProgramDatadll*

l C:ProgramDatakuaizipUpdateChecker.dll

l C:ProgramDataMS_17_010_Scan.exe

l C:ProgramDataMicrosoftChromme.exe

l C:ProgramDataFlrefox.exe

3、處理方法

因該挖礦會利用驅動妨礙安全軟件正常運行,需先使用火絨專殺查殺,或進入"網絡安全模式"阻止病毒繼續運行,使用火絨全盤查殺即可,目前該挖礦病毒的組件火絨均能查殺處理。

五、紫狐

1、特點危害

紫狐病毒最初發現于2018年,多年來一直保持活躍,除了挖礦外,該病毒還有流量暗刷、DDoS、盜號、惡意推廣等惡意行為。并會通過軟件捆綁、Ghost鏡像、永恒之藍、Sql暴破、服務漏洞等方式進行傳播。

2、感染癥狀

被感染終端,會出現以下文件:

l C:WindowsSystem32Ms********App.dll(*為任意字符)

3、處理方法:

該病毒會通過驅動對自身進行保護,需要用專殺進行處理(專殺下載地址:http://bbs.huorong.cn/thread-18575-1-1.html),查殺重啟后即可恢復正常。

安全建議

1. 部署火絨企業版,設置定時查殺,及時發現并處理企業內安全問題,防止因處理不當導致的病毒大量傳播。

2. 對使用的系統鏡像、PE系統、激活工具等進行排查。因為無論是安裝系統、使用PE或使用激活工具,多是在部署安全軟件前進行使用,如系統或工具內攜帶病毒,可能無法通過安全軟件進行防護。

3. 員工在下載、安裝、使用軟件時,如安全軟件有報毒的情況,不要添加信任繼續使用,如要使用報毒后的程序,或對報毒結果有異議,可上傳給火絨安全協助您進行分析。

4. 對有安全風險的端口、服務進行限制,如139、445端口(SMB)、3389端口(RDP遠程桌面)等企業內多默認開啟,但是大多數終端無需使用的服務,可以使用火絨進行限制。。

5. 企業內發現安全問題,但無法確定影響范圍和危害時,可聯系火絨對您企業內的安全問題進行分析,并幫助您進行處理。

附火絨相關報告:

“隱匿者”病毒團伙技術升級傳播病毒 暴力入侵電腦威脅全網用戶

“驅動人生”利用高危漏洞傳播病毒 12月14日半天感染數萬臺電腦

蠕蟲病毒“檸檬鴨”持續擴散 多種暴破方式攻擊用戶電腦



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6854078632554398220/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 福建31选7三个有没有中 股票趋势分析k线下 云南十一选五定牛 双色球开奖结果查询 湖北11选5一定牛遗漏数据 辽宁快乐12开将结果 成都有哪些配资公司 内蒙古11选五开奖结果 重庆时时彩分析软件下载 贵州快3开奖走势图 走 江苏十一选五遗漏号查询任五 打澳洲幸运5有哪些技巧 股票分析报告 快乐12走势图手机版 够力排列五下载 陕西11选5中奖规则