该报告称,在以超级用户身份入侵服务器后,该恶意软件会使用“copy from program”功能的 CVE-2019-9193 漏洞下载并启动挖矿。...挖矿程序采用无文件方法,在启动后立即删除了 PostgreSQL 的 abroxu 表,重新创建 abroxu 表将 Payload 填充进去,执行后清除创建的表。 ?...curl 是用于向服务器或从服务器传输数据的命令行工具。如果受害者的机器上没有 curl,恶意软件会尝试通过多种方法来下载 curl 二进制文件并将其添加到执行路径。 ?...下一步是通过 SOCKS5 代理连接到命令和控制服务器(C&C)。然后,PGMiner 会收集系统信息,并将其发送给 C&C 服务器以识别受害者,以确定应下载哪个版本的挖矿程序。...检查虚拟机、终止所有其他 CPU 密集型进程与竞争对手的挖矿程序。 PGMiner 的 C&C 服务器正在不断更新。
近期观测到,Linux下DDG变种挖矿病毒又在全国范围内大规模爆发,该样本通过SSH爆破进行攻击,执行恶意程序,下 载伪装成图片的门罗币挖矿木马,设置为开机启动并在后台运行,木马在入侵计算机之后,以该计算机本地密钥登录...known_hosts文件中的服务器进行横向渗透,攻击局域网中的其他机器并控制这些机器,使得这些无法正常提供业务,对该样本进行深入分析。...读取.ssh目录下known_hosts中的服务器地址,尝试使用密钥登录后横向传播,攻击局域网中的其他机器并控制这些机器。 ? 查杀Stratum矿池协议的挖矿进程,使得自己独占CPU资源。 ?...清除历史命令、除日志、邮件和服务器登陆行为。 ?...Pool: nanopoolPaid: 0 XMR,目前挖的门罗币为0。
本文作者:murphyzhang@云鼎实验室 一、前言 腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。...由于目前能对付此病毒的杀软极少,且该病毒通过入侵的赌博网站服务器进行病毒传播、挖矿,让真相扑朔迷离,云鼎实验室威胁情报小组将本次门罗币挖矿新家族命名为「罗生门」。...通过这种广撒网的方式,犯罪团伙能收获不少门罗币。...12.16个门罗币,价值约1w人民币(2018年10月8日,门罗币价格为114.2 USD,合计1388.67美金),算力为8557H/S,大约是皮皮虾矿池的百分之一算力。...两台中国香港主机均为 ip28.net,都可以作为门罗币(xmr)的挖矿代理主机。 黑产江湖之黑吃黑: 有人的地方就有江湖,黑产作为互联网中的法外之地,弱肉强食也是这个不法之地的规则。
腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。...由于目前能对付此病毒的杀软极少,且该病毒通过入侵的赌博网站服务器进行病毒传播、挖矿,让真相扑朔迷离,云鼎实验室威胁情报小组将本次门罗币挖矿新家族命名为「罗生门」。...通过这种广撒网的方式,犯罪团伙能收获不少门罗币。...12.16个门罗币,价值约1w人民币(2018年10月8日,门罗币价格为114.2 USD,合计1388.67美金),算力为8557H/S,大约是皮皮虾矿池的百分之一算力。...两台中国香港主机均为 ip28.net,都可以作为门罗币(xmr)的挖矿代理主机。 黑产江湖之黑吃黑: 有人的地方就有江湖,黑产作为互联网中的法外之地,弱肉强食也是这个不法之地的规则。
云鼎实验室通过对矿池地址进行统计和归类,发现云上入侵挖矿币种主要是门罗币(XMR)、氪石币(XCN)和以利币(ETN)。...CPU 资源挖矿来直接获得利益,所以门罗币等币种可在以 CPU 为主的云平台上流行。...在过去的一年中,即使门罗币价格一路下行,也挡不住黑客的热情,进一步对挖矿行为趋势的统计发现,公有云上门罗币挖矿的行为数量不仅没有下降,反而还在下半年持续攀升。...因为黑客植入挖矿程序是违法行为,使用门罗币,就算发现主机被植入挖矿木马,也无法通过挖矿的地址、交易等信息查询到黑客的行踪。...云鼎实验室通过对数字货币的价格走势和挖矿热度进行关联,尝试对币种价格与挖矿热度进行分析,发现挖矿的热度与币种价格成正比关系(部分高价值币,比如门罗币,由于其本身持续存在的价值,不受此规律影响)。
xmr-stak的github地址:https://github.com/fireice-uk/xmr-stak xmr-stak-cpu的github地址:...
近期接到客户反映,其机房有一台redhat服务器很卡,导致很多服务响应速度很慢的情况。通过远程到客户机器,发现一个进程占据700%多CPU的使用率。...通过分析,定性为是一起针对“门罗币”的挖矿木马入侵事件。本文记录处理该事件的关键过程以及对该挖矿木马核心代码进行的分析,方便做事件响应的同行们碰到同家族类型木马后可以快速查杀,定性威胁事件。.../xmr-stak-cpu,是一个通用的挖矿项目,支持CPU,AMD与NVIDIA GPU,用于挖“门罗币”。...可确定其是基于开源代码xmr-stak 2.4.2编写的一个针对门罗币的挖矿木马。 bashd代码分析 该木马用于针对“门罗币”挖矿的组件,x64架构的ELF格式文件。...关于挖矿木马如何防范与其他恶意代码以及入侵事件如何防范一样,实际上均是老生常谈的话题,最重要的一点还是企业需要正视网络安全的重要性,及时对系统以及应用打补丁,定期组织安全人员进行服务器的维护,提高企业员工的安全意识等等
“用指尖改变世界” 据SANS技术研究所和Morphus实验室的专家称,一群黑客通过闯入甲骨文(Oracle)WebLogic服务器并安装一个加密货币挖矿机,赚取了价值超过22.6万美元的门罗币(Monero...该漏洞的概念验证代码(POC)于2017年12月份由中国安全研究人员公布,在公布POC当天,几乎立即就有关于黑客利用它来安装恶意加密货币挖矿机的报道出现。...令研究人员感到惊讶的是,尽管黑客利用漏洞获得了对企业网络的完全访问权限,但他们只选择了安装一个加密货币挖矿机,并没有试图窃取任何具有价值的企业数据、安装勒索软件或者后门木马。...黑客所做的唯一事情就是在服务器的后台挖掘加密货币,并希望没有人注意到服务器的高CPU使用率。 专注挖掘AEON币和门罗币(Monero) 研究人员的调查证实,这群黑客至少包括了两个人。...一个专注于挖掘AEON币,另一个专注于挖掘门罗币。 针对AEON币的挖掘大约已获利6000美元。相对来说,挖掘门罗币更加成功,至少有611个门罗币产生,目前价值约为22.6万美元。
2018年10月18日,门罗币(Monero)再次进行了硬分叉,如果你正在用显卡进行XMR挖矿,请注意更新软件版本和相关参数。...早在2018年4月,比特大陆推出了门罗币的ASIC矿机之后,门罗团队开始了抵制比特大陆的战斗,当时分叉出来了四种币,现在能够在coinmarketcap上可查的主要是三种:Monero(XMR)、Monero...2018年4月6日,门罗币在高度1546200成功分叉,使得所有ASIC矿机差点成为废铁,只能去挖其他的分叉币,XMR的全网算力从1000M降到400M。 ?...从那一天开始门罗团队声称每6个月会更新一次算法,与比特大陆血战到底,果然,事隔半年,这次挖矿算法更新为CryptoNight variant 2(V8),分叉高度为:1685555,此次更新改动了约500...门罗社区的一些主要挖矿软件都及时推出了更新版本,比如xmrig、xmr-stak和HashFish。 如果你使用xmr-stak软件,请到下面网站下载最新软件。
2.需要同步完区块才能进行查看实时余额及转账,但不影响挖矿,挖矿可直接使用钱包地址挖。...帮助 balance 查看钱包数据 refresh 更新钱包 save 保存 重要提醒: 需要同步完区块才能进行查看实时余额及转账,但不影响挖矿...,挖矿可直接使用钱包地址挖。
门罗币(Monero,代号XMR)是一个创建于2014年4月的开源加密货币,采用了与比特币不同的CryptoNote协议3,使其更加适合使用CPU进行挖矿。...门罗币的这种特性导致了其被黑产大量使用,目前宙斯盾流量安全分析系统捕获的大部分挖矿脚本都是在进行门罗币的挖矿活动,一旦服务器恶意攻击者被植入门罗币挖矿脚本,最突出的表现就是CPU使用率大幅升高。...同时,Swarm挖矿还会有以下一些比较具体的特征,供网络安全从业者来进行判断: 1) 流量特征 在进行门罗币挖矿时,挖矿程序需要与矿池连接,并且将计算结果与区块等信息与矿池同步,其中还包含了登录的过程,...所以门罗币挖矿的流量特征很明显。...协议,这点与门罗币挖矿相同,并且数据包的强特征明显,可以针对数据包中的关键词或者数据包中的结构进行检测。
XMR(门罗币)是目前比特币等电子货币的一种,以其匿名性,支持CPU挖矿,以及不菲的价格等特点,得到了“黑产”的青睐。瀚思科技挖掘出黑产利用互联网服务器进行挖矿的通用模式,以及多个挖矿后台更新服务器。...攻击和挖矿方式显示黑产组织在相互竞争、木马更新等方面较去年又上了一个台阶。 ? 门罗币价格走势图 事件描述 近日,黑客利用SSH暴力破解服务器后种植挖矿木马,我们追踪到了其多个后台更新服务器。...一旦暴力破解成功,攻击者远程下载并运行挖矿程序 下图是一个挖矿木马后台服务器的截图,从图中可以看出116.196.120.20这台服务器从2018年1月26日14点开始,xm.sh(下载器程序)已经被下载过...下图是两种类型挖矿木马杀掉其他木马的方式比较: ? 黑客的获利估计 从目前的样本获取的钱包地址来看,之前的挖矿币池已经向攻击者的钱包提交了34个XMR(约合8500美元,以当天价格$250计算)。...从目前掌握的情报,综合溯源到的10多台服务器访问信息、钱包地址,该攻击者目前至少已经控制了3万多台主机,获取了约300多个门罗币,以目前的XMR(门罗币)价格已近10万美元。
其通常发生在企业网站或服务器中,甚至在用户的个人手机和家用智能设备上。 2目标币种 大部分恶意挖矿攻击的目标币种都是门罗币。...原因主要有两点: ①门罗币的挖矿算法属于CPU友好型,它使得门罗币可以在普通PC上而并非必须是矿机上进行挖掘。...在今年10月,门罗币官网启用最新的RandomX挖矿算法[2],它专门针对通过CPU进行优化,极大地降低GPU以及专用挖矿硬件的优势。 ②门罗币本身就是一种高度安全,隐私且无法追踪的数字货币。...图 2 挖矿行为分析 门罗币是一种不可追踪的匿名加密货币,因此它成为了暗网市场上最流通的加密货币之一。...如图2所示,通过对全年具体的挖矿活动进一步分析,发现60%的挖矿行为都是针对门罗币的挖矿程序请求矿池域名地址。
新型挖矿木马来了!近日,腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马,该挖矿木马主要针对MSSQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。...据腾讯安全评估,截止目前已有上万台服务器沦为门罗币矿机。对此,腾讯安全专家提醒企业应避免使用弱口令。同时,腾讯安全终端安全管理系统已可拦截查杀该挖矿木马。...1.png 据腾讯安全专家介绍,该黑产团伙对MSSQL服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件。...从挖矿木马的HFS服务器计数估计,已有上万台MSSQL服务器被植入挖矿木马,另有数十台服务器被安装后门。挖矿木马HFS文件列表如下。...其次,企业应在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。此外,为避免遭遇该挖矿木马迫害,腾讯安全建议政企机构部署专业防护软件。
犹如实际生活中的网名一样,只是这个网名和现实实体的关系没有记录在一个中心化的服务器上,所以不能得到网名和现实实体的关系,比特币利用这样的方式实现匿名性。 图1....黑客利用门罗币挖矿事件一直频频发生,绿盟科技的威胁捕获系统,可以监测门罗币挖矿的僵尸网络。...图5示例了比特币地址和门罗币地址的对比。门罗币使用一次性地址解决了区块链公的可追踪性,加强了隐私保护。 图5....图6显示比特币的签名和门罗币环签名的对比。从感官上可以看到比特币和门罗币两种签名方式的不同。 图6 比特币签名 VS....三、门罗币的技术路线 2014年,门罗币基于CryptoNote协议开发上线,主要技术是一次性地址和环签名的应用; 2016年,门罗币采用环机密交易,将交易金额隐匿进一步加强隐匿性; 2018年,门罗币在协议中整合了
用指尖改变世界” 根据网络安全公司eSentire在本周二发布的调查报告称,自2018年1月19日起,黑客开始利用Kaseya VSA(虚拟系统管理)存在的安全漏洞在未经授权的情况下访问VSA用户的资产,并将门罗币...(Monero)挖矿软件部署到目标系统中。...的研究人员表示,在1月19日至1月24日期间,他们的安全管理平台(SOC)监测到正运行esENDPOINT(该公司向其客户单位提供的专属软件)的多家客户单位出现了可疑的PowerShell活动,导致一个门罗币挖矿软件...挖矿软件利用了Kaseya VSA的 “agentmon.exe” 进程,以通过命令提示符cmd.exe启动PowerShell,最终将有效载荷和启动脚本存储到注册表中,并创建一个随机生成的能够在设置日期触发的计划任务...根据这种机制,研究人员建议可以通过删除注册表项和计划的任务来阻止挖矿行为,并停止运行xmrig.exe的PowerShell进程。
在这三种方式中,因为个人挖矿挖到的几率越来越低,所以矿池挖矿可谓是低成本、低风险,也是一种主流的方式,即大家组团一起挖。 矿池有很多,本质上就是各类服务器。...一:看小电影的你 2017年7月,来自腾讯管家的安全研究人员发现,有多个网站在其网页内嵌了挖矿 JavaScript 脚本,用户一旦进入此类网站,JS 脚本就会自动执行,占用大量的 CPU 资源以挖取门罗币...该JS挖矿机是由 Coinhive(专门提供挖矿的JS引擎)提供的一个服务,采用了 Cryptonight挖矿算法挖门罗币,而Cryptonight算法复杂、占用资源高,常被植入普通用户机器,占用其CPU...目前,门罗币也成为黑客最喜欢挖的一类币,据腾讯电脑管家安全专家分析,主要原因是因为比特币挖矿难度太大,需要专业的矿机,而门罗币挖掘难度相对较小,普通的PC电脑就可以挖掘。...Hackread.com(黑客研究网站)和Blockexplorer.com(比特币挖矿网站)均表示,这确实是Coinhive代码,专门负责帮黑客挖掘门罗币。 所以,蹭网有风险、连接需谨慎!
近期,Minerva的研究团队又发现了一种新的挖矿攻击-GhostMiner,这种新型的恶意挖矿软件主要挖的是门罗币,它使用了高级无文件技术,并能够在全球范围内悄无声息地传播。...消息交换所使用的协议会通过简单的握手来处理请求信息,并执行各种任务,例如感染其他服务器或截取屏幕图像等等。任务完成之后,客户端将会向C2服务器发送信息并请求其他任务: ?...根据目前的情况来看,该恶意活动的XMR钱包中大约有1.03个门罗币,价值约为200美金。不过,攻击者很可能还有其他的钱包地址,由于门罗币的匿名性,有些我们还无法检测到。...40a507a88ba03b9da3de235c9c0afdfcf7a0473c8704cbb26e16b1b782becd4d WMI64.ps1: 8a2bdea733ef3482e8d8f335e6a4e75c690e599a218a392ebac6fcb7c8709b52 相关的门罗币钱包地址...SystemIISSec WindowsUpdater* WindowsDefender* update carss service csrsc cara javaupd gxdrv lsmosee 挖矿相关的服务器端
原标题:比特币走高 致“挖矿”木马疯狂敛财 一个僵尸网络获利超300万人民币 段郴群 网络安全提醒 广州日报讯 (全媒体记者 段郴群)用户电脑突然出现计卡顿或者运行慢,甚至死机等情况,严重影响用户计算机的正常使用...万元人民币。...而仅“隐匿者”一个僵尸网络,从被控制的用户电脑中总共挖到了2010枚门罗币,合计61万美元,超过了300万元人民币。...而另外一个名叫“yamMiner”僵尸网络,其中一个钱包就获利4万美元,据悉,“yamMiner”僵尸网络拥有多个门罗币钱包,其获利总金额非常大。 而另外一种获取非法收益的方式则是网页“挖矿”。...定期维护服务器。由于“挖矿”木马会持续驻留在计算机中,如果服务器管理员未定期查看服务器状态,那么“挖矿”木马就难以被发现。因此服务器管理员应定期维护服务器。
这些被下载的有盗号木马、挖矿病毒等,并且已经获得约645个门罗币(合60余万人民币)。 一、 概述 该病毒早在2014年就已出现,并在国内外不断流窜,国外传播量远超于国内。...该病毒代码执行后,会根据远程C&C服务器返回的控制命令执行指定恶意逻辑,甚至可以直接派发其他病毒代码到本地计算机中进行执行。现阶段,我们发现的被派发的病毒程序包括:挖矿病毒、盗号木马等。...下载执行远程恶意代码 挖矿病毒 病毒下发的恶意代码众多,我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后,会在电脑运算资源闲置时挖取门罗币,对于普通用户来说其挖矿行为很难被察觉。...挖矿逻辑控制代码 虽然病毒严格控制了挖矿效率,但是由于该病毒感染量较大,总共挖取门罗币约645个,以门罗币当前价格计算,合人民币60余万元。病毒使用的门罗币钱包账户交易信息,如下图所示: ?...病毒使用的门罗币钱包账户交易信息 三、 附录 文中涉及样本SHA256: ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
