淺談無(wú)文件挖礦病毒分析與處理

潘 雪，楊英奎，劉春雪

（1.黑龍江省生態(tài)氣象中心,黑龍江 哈爾濱 150030；2.黑龍江省氣象數(shù)據(jù)中心，黑龍江 哈爾濱 150030）

1 引言

隨著社會(huì)的發(fā)展，互聯(lián)網(wǎng)技術(shù)越來(lái)越普及，在新興技術(shù)不斷出現(xiàn)的同時(shí)， 針對(duì)新技術(shù)的攻擊手段也頻發(fā)、升級(jí)和進(jìn)化，借助于各種手段實(shí)施網(wǎng)絡(luò)安全威脅的介質(zhì)、方式和載體更是變化莫測(cè)，網(wǎng)絡(luò)安全形勢(shì)始終不容樂觀。 近年來(lái)，伴隨著加密貨幣交易市場(chǎng)的發(fā)展，以及加密貨幣的價(jià)值不斷提升，惡意挖礦攻擊已經(jīng)成為影響最為廣泛的一類網(wǎng)絡(luò)安全威脅， 影響著各大國(guó)家機(jī)關(guān)和企事業(yè)單位以及個(gè)人用戶。

2 挖礦病毒

2.1 挖礦

挖礦本身并不是一種惡意行為， 對(duì)于比特幣挖礦來(lái)說(shuō)，它是一種計(jì)算行為，即利用硬件資源在比特幣網(wǎng)絡(luò)中進(jìn)行科學(xué)計(jì)算， 通過(guò)計(jì)算得出的結(jié)果來(lái)獲得相應(yīng)的報(bào)酬，此報(bào)酬即比特幣。 隨著電子貨幣的種類越來(lái)越多，挖礦的幣種也在不斷拓展，挖礦的形式和算法也在不斷演進(jìn)。 最初， 挖礦行為主要利用CPU、GPU 等資源進(jìn)行， 這些硬件資源的成本比較低。 后來(lái)，隨著加密貨幣市場(chǎng)逐漸擴(kuò)大，人們已經(jīng)不滿足于利用這些硬件資源進(jìn)行挖礦， 而是開始設(shè)計(jì)出各種專業(yè)的挖礦工具， 比如可編程陣列等進(jìn)行挖礦，這種專業(yè)的挖礦工具大幅度提升了挖礦速度[1-3]。

2.2 惡意挖礦

惡意挖礦也叫加密劫持。 加密劫持是一種在未經(jīng)其同意或不知情的情況下，使用人類設(shè)備（電腦、手機(jī)、平板或者服務(wù)器）來(lái)秘密開采受害人資源從而獲取加密貨幣的行為。 攻擊者沒有建立專用的加密礦計(jì)算機(jī)， 而是使用加密劫持從受害者的設(shè)備中竊取計(jì)算資源。 當(dāng)所有這些資源加在一起時(shí)，攻擊者就可以與復(fù)雜的加密采礦操作進(jìn)行競(jìng)爭(zhēng)， 而無(wú)須付出昂貴的開銷[4-8]。

當(dāng)前惡意挖礦程序主要的形態(tài)分為兩種： 第一種是基于開源的挖礦代碼的定制化挖礦程序，如XMRig, CNRig, XMR-Stak。 其中XMRig 是一個(gè)開源的跨平臺(tái)的門羅算法挖礦項(xiàng)目， 其主要針對(duì)CPU 挖礦，并支持38 種以上的幣種。 由于其開源，跨平臺(tái)和挖礦幣種類別豐富， 它已經(jīng)成為各類挖礦程序的核心。 第二種是嵌入惡意JS 腳本的挖礦網(wǎng)站。 網(wǎng)站被植入惡意挖礦腳本后， 會(huì)利用瀏覽該網(wǎng)站的用戶計(jì)算機(jī)資源進(jìn)行挖礦獲利。 最常見的挖礦網(wǎng)站家族有Coinhive,Jsecoin 等[9]。

3 病毒分析與處理

以無(wú)文件挖礦病毒案例， 介紹病毒分析處理過(guò)程。

3.1 中毒現(xiàn)象

服務(wù)器受無(wú)文件挖礦病毒侵害表象為服務(wù)器操作卡頓嚴(yán)重，CPU 利用率高達(dá)100%；出現(xiàn)多個(gè)PowerShell 進(jìn)程，且手動(dòng)結(jié)束進(jìn)程后會(huì)自動(dòng)恢復(fù)；常規(guī)殺毒軟件無(wú)任何安全提醒，使用HIPS 殺毒軟件可追蹤異常操作。

3.2 分析處理過(guò)程

(1)經(jīng)檢查發(fā)現(xiàn)CPU 資源占用過(guò)多，對(duì)進(jìn)程逐一排查確定是由于PowerShell 進(jìn)程導(dǎo)致。 在任務(wù)管理器內(nèi)對(duì)其手動(dòng)結(jié)束進(jìn)程， 等待片刻后PowerShell 進(jìn)程又再次出現(xiàn)，因此判斷其存在自動(dòng)啟動(dòng)的情況。 鑒于處理期間未重啟電腦， 故檢查任務(wù)計(jì)劃程序是否正常。 依次點(diǎn)擊開始- 所有程序- 管理工具-任務(wù)計(jì)劃程序， 在右側(cè)的操作列表中發(fā)現(xiàn)系統(tǒng)已禁用所有任務(wù)歷史記錄， 并在左側(cè)的任務(wù)計(jì)劃程序中出現(xiàn)多個(gè)異常命名的計(jì)劃任務(wù)。 點(diǎn)擊頂部的操作顯示所有正在運(yùn)行任務(wù)， 查看當(dāng)前計(jì)劃任務(wù)中的運(yùn)行情況。

(2)經(jīng)排查確認(rèn)在任務(wù)計(jì)劃程序列表內(nèi)出現(xiàn)6 個(gè)異常命名的計(jì)劃任務(wù)， 安全選項(xiàng)設(shè)定為不管用戶是否登錄都要運(yùn)行計(jì)劃任務(wù)。 具體操作為啟動(dòng)Power-Shell 程序并執(zhí)行命令， 觸發(fā)器均為觸發(fā)后無(wú)限期間隔1 小時(shí)運(yùn)行。 逐步排查確認(rèn)全部異常的計(jì)劃任務(wù)列表， 并確認(rèn)它們的創(chuàng)建起止時(shí)間：2020-04-03 16:52:00 - 2020-04-03 16:53:31 為同一時(shí)段。 對(duì)上述異常計(jì)劃任務(wù)進(jìn)行導(dǎo)出留存， 導(dǎo)出完成后對(duì)其進(jìn)行刪除處理。

(3)刪除完成后再次打開任務(wù)管理器，對(duì)異常的PowerShell 進(jìn)程進(jìn)行結(jié)束進(jìn)程操作， 再次檢查CPU使用率時(shí)確認(rèn)已恢復(fù)正常狀態(tài)。 通過(guò)上述排查確認(rèn)，該行為通過(guò)計(jì)劃任務(wù)執(zhí)行PowerShell 腳本實(shí)現(xiàn)無(wú)文件挖礦。

(4)對(duì)已獲取的6 個(gè).xml 格式的計(jì)劃任務(wù)文件進(jìn)行分析匯總， 除了在計(jì)劃任務(wù)創(chuàng)建時(shí)間以及計(jì)劃任務(wù)啟動(dòng)時(shí)間略有差異外， 均使用PowerShell 作為啟動(dòng)程序，執(zhí)行不同的命令。 針對(duì)6 條獲取的PowerShell 執(zhí)行命令進(jìn)行分析匯總， 可判斷出其通過(guò)hosts 文件將域名解析至指定的IP 地址。 編輯hosts文 件 確 認(rèn) 文 件 已 被 修 改， 僅 留 下66.42.43.37 yQtl2uoaKi.jp 一條記錄。

因此獲知PowerShell 執(zhí)行命令從下述的6 個(gè)地址內(nèi)獲取執(zhí)行腳本：

http://t.tr2q.com/x.jsp?eb_20200403

http://t.awcna.com/x.jsp?eb_20200403

http://t.amynx.com/x.jsp?eb_20200403

http://BnbqKXaeotF.cn/w.jsp?eb_20200403

http://yQtl2uoaKi.jp/w.jsp?eb_20200403

http://kwC0HVZGv.kr/w.jsp?eb_20200403

通過(guò)Ping 和Whios 確認(rèn)， tr2q.com、awcna.com、amynx.com 三個(gè)域名真實(shí)存在，但已禁Ping 。而另外三個(gè)域名均是虛假地址， 使用Hosts 地址表內(nèi)的66.42.43.37 IP 進(jìn)行通信，通過(guò)IP 查解析域名獲知該IP 綁定過(guò)域名t.awcna.com 和p.awcna.com 與上述結(jié)論得到證實(shí)， 因此推斷上述地址實(shí)質(zhì)上均是通過(guò)66.42.43.37 下載同一文件， 攔截該地址即可阻斷下載。

(5)請(qǐng)求上述地址即可獲得x.jsp 文件，從內(nèi)容看代碼已進(jìn)行加密混淆。 從攻擊過(guò)程上看可能為通過(guò)系統(tǒng)漏洞攻擊進(jìn)入計(jì)算機(jī)系統(tǒng)， 成功入侵目標(biāo)計(jì)算機(jī)后， 通過(guò)執(zhí)行PowerShell 加載下一階段的后門或木馬。

無(wú)文件挖礦病毒利用永恒之藍(lán)等漏洞進(jìn)行傳播，可對(duì)弱命令的RDP 進(jìn)行爆破攻擊，了解其傳播方式后關(guān)閉相應(yīng)端口，對(duì)系統(tǒng)進(jìn)行加固和防護(hù)。 具體操作為： 啟用防火墻添加135、137、138、139、445、65529 TCP/UDP 出入站特定端口； 檢查計(jì)劃任務(wù)中的異常計(jì)劃任務(wù)并刪除， 結(jié)束進(jìn)程中PowerShell 全部進(jìn)程，更新系統(tǒng)安裝微軟官方提供的漏洞補(bǔ)?。话惭bHIPS 安全軟件（火絨安全），對(duì)系統(tǒng)進(jìn)行防護(hù)，開啟注冊(cè)表防護(hù)、以及敏感動(dòng)作防護(hù)，攔截執(zhí)行Power-Shell 可疑操作。

4 結(jié)論

本文介紹了挖礦病毒， 并通過(guò)實(shí)例對(duì)挖礦病毒的分析與處理過(guò)程進(jìn)行了詳細(xì)的描述， 得出了針對(duì)挖礦病毒的防御策略。 本文介紹的方法可為分析處理挖礦病毒提供參考。