挖矿

据白帽汇安全研究院统计,目前发现超过30w的MikroTik路由器被植入挖矿代码,攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取(CVE-2018-14847)漏洞。
腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。
近日腾讯安全云鼎实验室发现一起针对云上服务器利用 Redis 未授权访问漏洞的入侵挖矿事件,和以往发现的挖矿相比,此次入侵行为更具有针对性,主要瞄准大型云商服务器,入侵手法更高级,具备扫描感染、进程隐藏等多种能力。
启明星辰ADLab近日发现了大量知名软件的安装程序被植入挖矿病毒,该病毒背后的黑客试图通过软件共享论坛等社交渠道来发布受感染的软件安装包,我们称该恶意软件为“安装幽灵”挖矿病毒。
360 MeshFire Team总结归纳出挖矿恶意软件主要检测指标和处置流程,同时给出部分工具,方法和样本案例,供相关从业者参考。本文的后半部分我们以一个捕获到的高危MAC挖矿样本为例,展开此类安全事件的监测和处置过程。
我们注意到一个新的蠕虫正在清理 adb.miner。在完成了清理动作后,该蠕虫会等待来自C2的下一步指令。该C2域名的解析,需要通过emercoin.com利用区块链DNS系统完成。我们将该蠕虫命名为fbot。
Kworkerd恶意挖矿分析。
时下各种挖矿软件如雨后春笋层出不穷,通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名,对抗安全设施阻断其域名,隐藏真实服务器地址的挖矿恶意样本成功引起了我们的注意。
在一系列的攻击活动中,360威胁情报中心发现该团伙的C2服务器统一使用8220号端口,因此将该团伙命名为“8220挖矿团伙”,并在后续的分析中以此代号对该团伙进行相关分析。
近期我们的海青安全研究实验室捕获了一个新的挖矿木马样本,目前网络上还未见到关于它的分析。与以往的木马相比,这次捕获的样本有了不小的“进化”:手段更加隐蔽,清除更加困难。