应急响应之门罗币挖矿木马
字数 1505 2025-08-09 13:33:52

门罗币挖矿木马应急响应与分析教学文档

1. 背景概述

随着比特币等加密货币价格暴涨,不法分子利用木马文件感染服务器进行挖矿的行为日益猖獗。本教学文档基于一起实际的门罗币挖矿木马感染案例,详细分析其攻击流程、技术特点和防御措施。

2. 攻击流程分析

2.1 初始入侵途径

  • 漏洞利用:攻击者利用Confluence的RCE漏洞(8090端口)获取服务器控制权限
  • 日志清除:入侵后删除命令历史记录等日志信息
  • 恶意脚本下载:从恶意IP 194.145.227.21下载并执行ldr.sh脚本

2.2 恶意脚本分析

  • 脚本功能

    • 卸载主机安全软件(特别是阿里云监测插件)
    • 删除部分挖矿docker镜像
    • 添加SSH密钥到受感染系统
    • 下载并执行挖矿程序

  • 变种特征

    • 属于Sysrv-hello僵尸网络的门罗币挖矿程序较新变种
    • 添加了nanopool作为新的矿池地址
    • 将蠕虫程序和矿工程序组合到单个二进制文件中

2.3 持久化与横向移动

  • 权限维持

    • 通过ftp上传cmd.vm文件作为控制肉鸡的必要文件
    • 使用OpenVPN工具建立代理连接(可疑IP 27.128.170.100以root身份登录并下载)

  • 横向传播

    • 利用phpunit RCE漏洞攻击内网其他服务器
    • 通过脚本木马实现蠕虫式传播

3. 技术细节

3.1 挖矿相关配置

  • 钱包地址
    49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

  • 矿池地址

    • f2pool.com
    • nanopool.org
    • minexmr.com
    • supportxmr.com
    • c3pool.com

3.2 恶意IP地址

  • 主要C2服务器:194.145.227.21
  • 可疑登录IP:27.128.170.100

4. 取证与分析方法

4.1 入侵痕迹检测

  • 检查异常开放端口(如8090)
  • 分析进程列表,查找可疑下载行为
  • 恢复被删除的日志(如使用logwatch恢复CentOS登录记录)
  • 检查/var/log/secure等安全日志

4.2 恶意文件分析

  • 文件位置检查

    • 查找cmd.vm等控制文件
    • 检查/tmp等临时目录
    • 分析crontab等定时任务

  • 脚本分析技巧

    • 云沙箱分析(可能不报毒)
    • 逆向分析查找挖矿行为和矿池地址
    • 比对已知样本(如Sysrv-hello僵尸网络特征)

5. 防御与处置建议

5.1 预防措施

  • 及时修补Confluence、phpunit等已知漏洞
  • 限制服务器不必要的端口开放
  • 部署主机安全防护软件
  • 加强SSH安全配置(禁用root登录、使用密钥认证)

5.2 应急响应步骤

  1. 隔离感染主机:立即断开网络连接
  2. 终止恶意进程:kill相关挖矿进程
  3. 清除持久化项目
    • 删除恶意脚本和二进制文件
    • 清理crontab等定时任务
    • 移除添加的SSH密钥
  4. 漏洞修复:修补被利用的漏洞
  5. 全盘扫描:检查其他可能被感染的系统
  6. 密码重置:更改所有相关账户密码

5.3 监控与加固

  • 部署入侵检测系统监控挖矿行为
  • 建立网络流量基线,监控异常外连
  • 定期审计服务器安全配置
  • 启用日志集中收集和分析

6. 总结

本次分析的门罗币挖矿木马属于Sysrv僵尸网络变种,具有以下特点:

  1. 利用多个高危漏洞进行初始入侵
  2. 采用组合式恶意文件(蠕虫+矿工)
  3. 具备对抗安全软件的能力
  4. 通过SSH密钥和OpenVPN实现持久化
  5. 频繁更新变种,添加新矿池地址

防御此类威胁需要采取多层次的安全措施,包括漏洞管理、入侵检测、日志分析和安全加固等。

门罗币挖矿木马应急响应与分析教学文档 1. 背景概述 随着比特币等加密货币价格暴涨,不法分子利用木马文件感染服务器进行挖矿的行为日益猖獗。本教学文档基于一起实际的门罗币挖矿木马感染案例,详细分析其攻击流程、技术特点和防御措施。 2. 攻击流程分析 2.1 初始入侵途径 漏洞利用 :攻击者利用Confluence的RCE漏洞(8090端口)获取服务器控制权限 日志清除 :入侵后删除命令历史记录等日志信息 恶意脚本下载 :从恶意IP 194.145.227.21下载并执行ldr.sh脚本 2.2 恶意脚本分析 脚本功能 : 卸载主机安全软件(特别是阿里云监测插件) 删除部分挖矿docker镜像 添加SSH密钥到受感染系统 下载并执行挖矿程序 变种特征 : 属于Sysrv-hello僵尸网络的门罗币挖矿程序较新变种 添加了nanopool作为新的矿池地址 将蠕虫程序和矿工程序组合到单个二进制文件中 2.3 持久化与横向移动 权限维持 : 通过ftp上传cmd.vm文件作为控制肉鸡的必要文件 使用OpenVPN工具建立代理连接(可疑IP 27.128.170.100以root身份登录并下载) 横向传播 : 利用phpunit RCE漏洞攻击内网其他服务器 通过脚本木马实现蠕虫式传播 3. 技术细节 3.1 挖矿相关配置 钱包地址 : 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa 矿池地址 : f2pool.com nanopool.org minexmr.com supportxmr.com c3pool.com 3.2 恶意IP地址 主要C2服务器:194.145.227.21 可疑登录IP:27.128.170.100 4. 取证与分析方法 4.1 入侵痕迹检测 检查异常开放端口(如8090) 分析进程列表,查找可疑下载行为 恢复被删除的日志(如使用logwatch恢复CentOS登录记录) 检查/var/log/secure等安全日志 4.2 恶意文件分析 文件位置检查 : 查找cmd.vm等控制文件 检查/tmp等临时目录 分析crontab等定时任务 脚本分析技巧 : 云沙箱分析(可能不报毒) 逆向分析查找挖矿行为和矿池地址 比对已知样本(如Sysrv-hello僵尸网络特征) 5. 防御与处置建议 5.1 预防措施 及时修补Confluence、phpunit等已知漏洞 限制服务器不必要的端口开放 部署主机安全防护软件 加强SSH安全配置(禁用root登录、使用密钥认证) 5.2 应急响应步骤 隔离感染主机 :立即断开网络连接 终止恶意进程 :kill相关挖矿进程 清除持久化项目 : 删除恶意脚本和二进制文件 清理crontab等定时任务 移除添加的SSH密钥 漏洞修复 :修补被利用的漏洞 全盘扫描 :检查其他可能被感染的系统 密码重置 :更改所有相关账户密码 5.3 监控与加固 部署入侵检测系统监控挖矿行为 建立网络流量基线,监控异常外连 定期审计服务器安全配置 启用日志集中收集和分析 6. 总结 本次分析的门罗币挖矿木马属于Sysrv僵尸网络变种,具有以下特点: 利用多个高危漏洞进行初始入侵 采用组合式恶意文件(蠕虫+矿工) 具备对抗安全软件的能力 通过SSH密钥和OpenVPN实现持久化 频繁更新变种,添加新矿池地址 防御此类威胁需要采取多层次的安全措施,包括漏洞管理、入侵检测、日志分析和安全加固等。