位置:丁香财经网 >> 比特币

虚拟货币挖矿枚举算法

2023年06月22日 09:35

欧易okx交易所下载

欧易交易所又称欧易OKX,是世界领先的数字资产交易所,主要面向全球用户提供比特币、莱特币、以太币等数字资产的现货和衍生品交易服务,通过使用区块链技术为全球交易者提供高级金融服务。

APP下载   官网注册

近日,“驱动人生”无文件挖矿病毒计划任务再次更新,此次更新中的恶意脚本将会篡改hosts文件指向随机域名,并将DNS服务器地址修改为“8.8.8.8”及“9.9.9.9”,同时采用多种攻击方式横向传播。亚信安全将其命名为Coinminer.Win64.MALXMR.TIAOODDA。

攻击流程

病毒详细分析

此次发现的恶意计划任务代码主要为如下两种,实际功能均是下载同一文件x.js(a49add2a8eeb7e89b9d743c0af0e1443):

a49add2a8eeb7e89b9d743c0af0e1443分析:

a49add2a8eeb7e89b9d743c0af0e1443是一段经过混淆加密的PowerShell代码,解密后的代码如下图,其主要功能是上传被感染机器信息并下载另外一个PowerShell脚本(f19d9a77c3f6f07e43f5822f9a796104):

f19d9a77c3f6f07e43f5822f9a796104主要功能如下:

1. 下载并执行if.bin(横向传播模块);

2. 如果是N卡(GTX | NVIDIA | GEFORCE),则下载XMRig CUDA插件到tmp目录,以便后续利用NVIDIA GPU同时挖矿;

3. 根据系统版本不同分别执行32/64位挖矿软件me3.exe/m6.bin,若系统为64位机器,将调用Invoke-ReflectivePEInjection注入到Powershell进程中执行;

4. 如果系统中包含N卡或A卡则额外执行挖矿程序m6g.exe;

5. 修改DNS服务器地址为“8.8.8.8”及“9.9.9.9”;

6. 开启防火墙65529/TCP端口并设置端口转发,且会禁用135/445端口,导致文件共享无法使用。

64位系统,调用Invoke-ReflectivePEInjection将挖矿程序注入到PowerShell进程中。

If.bin模块包含多个攻击模块,且使用如下弱口令暴力破解其他机器:

攻击模块:

1)利用“永恒之蓝”漏洞攻击

此功能将会扫描内网中开放445端口的易受攻击机器,且会获取易受攻击机器的系统版本,根据系统版本使用不同的攻击代码,一旦攻击成功将会执行PowerShell命令。

【MS17-010漏洞扫描程序】

【MS17-010攻击代码】

2) MS-SQL Server SA账户暴力破解

枚举并扫描内网其他开放1433端口的机器,并尝试使用弱口令及Mimikatz从本地收集到的密码暴力破解 SA账户,一旦登录成功将会使用xp_cmdshell执行PowerShell脚本并上报机器IP及SQLSERVER密码到服务器。

如果登录成功,则上报机器IP和MS-SQL Server密码。

3) PassTheHash攻击

此功能将会验证用户帐户权限,如果当前登录用户具有管理员权限则使用PowerDump模块和Mimikatz来转储所有NTLM哈希、用户名、密码和域信息。后续将会使用这些凭据,将恶意脚本文件上传到网络中可访问的任何远程计算机的%startup%文件夹中,使用WMI远程执行PowerShell代码。

使用默认HASH及PowerDump模块和Mimikatz转储的HASH值尝试访问其他机器的IPC$。

4) 针对RDP弱口令进行爆破攻击

此模块会扫描内网其他开启3389端口的机器,并尝试使用”Administrator”用户名及前述弱口令密码及Mimikatz收集到的密码尝试登录,成功登录后将会执行PowerShell后门代码并上报机器IP及密码。

5) USB和网络驱动器

此功能将恶意Windows*.lnk快捷方式文件和恶意DLL文件写入连接到受感染机器的可移动存储及映射的网络驱动器中。一旦其他机器点击(不需要打开.lnk文件)被感染后的可移动存储或者网络驱动器会触发CVE-2017-8464LNK 远程执行代码漏洞,进而感染病毒。

6) 针对RDP漏洞CVE-2019-0708进行检测和上报

对RDP CVE-2019-0708漏洞进行检测,目前尚无利用代码。

一旦网络中的机器被以上任意一种方式攻陷,将会执行如下PowerShell后门代码并修改防火墙设置,打开65529/TCP端口,其将作为被感染机器标识,避免后续重复攻击这些机器。

被攻陷机器最终将被创建如开始所述计划任务,进而进行挖矿并感染其他机器。

推荐阅读

vue3后台管理系统[vue管理界面]
虚拟货币挖矿枚举算法
北京冬奥会用什么虚拟货币(北京冬奥会使用的技术)
法院执行会执行虚拟货币(法院会用虚拟运营商号码吗)
国家反诈中心举报虚拟货币(国家反诈中心举报会立案吗)
虚拟货币止盈止损教学
虚拟货币数量是固定的吗
字长和字节(字长和字节长度有区别吗)
文章来源: Demi
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至405936398@qq.com 举报,一经查实,本站将立刻删除。
相关资讯
虚拟币平台差价买卖?虚拟币平台差价买卖违法吗
虚拟币平台差价买卖?虚拟币平台差价买卖违法吗 1970-01-01

【MS17-010漏洞扫描程序】【MS17-010攻击代码】2) MS-SQL Server SA账户暴力破解枚举并扫描...

国内虚拟货币挖矿停止(会产生重大影响吗?)
国内虚拟货币挖矿停止(会产生重大影响吗?) 1970-01-01

【MS17-010漏洞扫描程序】【MS17-010攻击代码】2) MS-SQL Server SA账户暴力破解枚举并扫描...

浙江整治虚拟货币挖矿企业(浙江华冶矿建集团有限公司介绍)
浙江整治虚拟货币挖矿企业(浙江华冶矿建集团有限公司介绍) 1970-01-01

【MS17-010漏洞扫描程序】【MS17-010攻击代码】2) MS-SQL Server SA账户暴力破解枚举并扫描...

虚拟币用什么平台直播好 虚拟币用什么平台直播好呢
虚拟币用什么平台直播好 虚拟币用什么平台直播好呢 1970-01-01

【MS17-010漏洞扫描程序】【MS17-010攻击代码】2) MS-SQL Server SA账户暴力破解枚举并扫描...

关于政治虚拟货币的问题(欧美国家为什么没有禁止?)
关于政治虚拟货币的问题(欧美国家为什么没有禁止?) 1970-01-01

【MS17-010漏洞扫描程序】【MS17-010攻击代码】2) MS-SQL Server SA账户暴力破解枚举并扫描...

虚拟游戏币充值平台?虚拟游戏币充值平台有哪些
虚拟游戏币充值平台?虚拟游戏币充值平台有哪些 1970-01-01

【MS17-010漏洞扫描程序】【MS17-010攻击代码】2) MS-SQL Server SA账户暴力破解枚举并扫描...