博主介绍
- 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
- ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
- 点赞➕评论➕收藏 == 养成习惯(一键三连)
- 欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
- 作者水平有限,欢迎各位大佬指点,相互学习进步!
由于文章篇幅问题,本文主要讲了服务器受到矿机威胁怎么处理的问题,日志被删除怎么处理的问题,其他问题后续都会有详细介绍,欢迎关注和订阅哦。
第一篇文章简单从应急响应是安全岗位的必问知识点引入,从客户描述中寻找可利用信息帮助处理异常事件。重点介绍了什么是应急响应,应急响应基本流程。
第二篇文章从真实工作环境情况中,介绍了我们的分析方法及具体采用的一些分析技术、工具等内容。
第三篇文章从一些常见的面试问着手,对应急响应进行补充和细化。
同样的,我们这一篇文章还是从面试题入手,去解决一些相关的问题。
最后,我想说的是:要把应急响应所有的知识点介绍到位几乎是做不到的,这个需要在学习和工作中去积累。
原稿审核未通过,此文删减部分内容,但对于工作和面时差不多也是够用的。
目录
面试官:
三、服务器受到矿机危害怎么处理?
1. 矿机介绍:
1. 什么是矿机?
2. 什么是比特币挖矿机?
3. 矿机的种类有哪些?
4. 矿机的挖掘方法
5. 矿机有什么消耗和风险
6. 矿机的制造企业
2. 矿机病毒介绍
1. hAnt病毒
概述:
案例:
解决办法:
2. AutoUpdate挖矿病毒
概述:
工作原理:
3. 如何有效检测挖矿行为?
1. 针对办公网或者生产网中存在的挖矿安全隐患
2. 对于无法识别潜在的挖矿外联行为
4. 检测到挖矿行为后,如何精准闭环处置?
1. Linux系统挖矿病毒的处置
2. Windows系统挖矿病毒的处置
四、日志被删除怎么处理?
五、Sality病毒了解吗,知道如何分析和查杀吗?
六、飞客蠕虫了解吗,知道如何分析和查杀吗?
七、Windows环境黑客入侵应急与排查?
八、你有应急工具箱吗,都有哪些工具呢?
九、处理完第二天发现又有同样的异常,你会怎么办呢?
写在最后:
相关连接:
矿机:说白了就是用于赚钱的电脑。挖矿嘛,可以对比一下生活中煤矿,矿就是钱,家里有钱我们现在也常说他家里有矿,哈哈哈哈。
但我们电脑来挖的矿是虚拟的,通常以比特币的形式出现。
这类电脑一般有专业的挖矿晶元,大多采用烧显卡的方式工作,耗电量较大。
用户用个人电脑下载软件然后运行特定演算法,与远方服务器通讯后可得到相应比特币,是获取比特币的方式之一。
比特币挖矿机就是用于赚取比特币的计算机。这类计算机一般有专业的挖矿芯片,多采用安装大量显卡的方式工作,耗电量较大。
计算机下载挖矿软件然后运行特定算法,与远方服务器通讯后可得到相应比特币,是获取比特币的方式之一。
ASIC矿机
ASIC 矿机是指使用 ASIC 芯片作为核心运算零件的矿机。
ASIC 芯片是一种专门为某种特定用途设计的芯片,必须说明的是它并不只用于挖矿,还有更广泛的应用领域。
这种芯片的特点是简单而高效,例如比特币采用 SHA256 算法,那么比特币 ASIC 矿机芯片就被设计为仅能计算 SHA256,所以就挖矿而言,ASIC 矿机芯片的性能超过当前顶级的电脑CPU。
因为ASIC矿机在算力上有绝对的优势,所以电脑、显卡矿机开始逐渐被淘汰。
GPU矿机
GPU 矿机,简单的解释就是通过显卡(GPU)挖矿的数字货币挖矿机。在比特币之后,陆续出现了一些其他数字资产,比如以太坊、达式币、莱特币等等,其中一些币所用的算法与比特币并不相同,为了达到更高的挖矿效率,矿工们做了不同的测试,最后发现 SHA256 算法的数字货币使用 ASIC 挖矿效率最高。
而 Scrypt 等其他算法的数字货币用 GPU 显卡挖矿效率最高,于是催生出了专门的 GPU 矿机。
IPFS矿机
IPFS 类似于 HTTP,是一种文件传输协议。
IPFS 要想运行,需要网络中有许许多多的计算机(存储设备)作为节点,广义的说所有参与的计算机,都可以称作 IPFS 矿机。
而 IPFS 网络为了吸引更多的用户加入成为节点,为网络做贡献,设计了一种名叫 filecoin 的加密货币,根据贡献存储空间与带宽的多少,派发给参与者(节点)作为奖励。
狭义的说,专门以获取 filecoin 奖励为目的而设计的计算机,称为 IPFS 矿机。由于 IPFS 网络需要的是存储空间以及网络带宽,所以为了获得最高的收益比,IPFS矿机通常会强化存储空间、降低整机功耗等方面。
比如装备10块以上大容量硬盘,配备千兆或更高速度的网卡,使用超低功耗的架构处理器等等。
FPGA矿机
FPGA 矿机,既使用 FPGA 芯片作为算力核心的矿机。
FPGA 矿机是早期矿机之一,首次出现在2011年末,在当时一度被看好,但活跃期并不长,后逐渐被ASIC矿机与GPU矿机取代。
FPGA(Field-Programmable Gate Array),中文名叫现场可编程门阵列。比较通俗的理解是,FPGA就是把一大堆逻辑器件(比如或门、与门、非门、选择器)封装在一个盒子里,盒子里的逻辑元件如何连接,全部由使用者(编写程序)来决定。
如果FPGA里面写的是挖矿程序,那么造出来的就是 FPGA 矿机,而且由于 FPGA 灵活度高,所以不只是可以支持比特币的 SHA256 算法,也可以支持 GPU 矿机擅长的 Scrypt 算法。
FPGA矿机活跃的时期,相比同时代的 CPU、GPU 矿机,FPGA 虽然算力性能不占优,但功耗要低很多,综合功耗比很高 。
挖矿其实也很简单,但个人认为没必要去挖。个人电脑用于挖矿,你的收益真的微乎其微,但挖着玩一玩还是可以的。
做矿工其实就是用自己的电脑生产,在早期的客户端中还有挖矿这一选项,但已经取消了。
要挖掘也相当简单,可以下载专用的运算工具,然后注册各种合作网站,把注册来的用户名和密码填入计算程序中,再点击运算就正式开挖。
1. 电费问题
挖矿程序一旦启动,你的显卡就会处于满载状态,显卡长时间满载,功耗会相当高,电费开支不会低。
挖矿机越来越先进,但烧显卡挖矿是最划算的。
一些矿工表示,照顾机器比照顾人还累,有网友一台挖矿机3个月就用1000多度电,为了挖掘,挖矿机散热厉害,就算是刚洗完的衣服,放在屋里一会儿就干了。
这么高的电费,很有可能把挖赚的钱抵消,甚至变成倒贴,还不算这还不算电脑、服务器的损耗,还有人工费用。
2. 硬体支出
挖矿可以说是性能和装备的竞争,一般来说,矿机是由非常多张显卡组成的,虽然个人电脑也可以,但真的亏。
就是HD6770这样的垃圾卡,组团之后的运算能力还是能够超越大部分用户的单张显卡的。就好比一个成年人和10个小朋友拔河,你说谁会赢呢?
而且这还不是最可怕的,有些挖矿机是更多这样的显卡阵列组成的,数十乃至过百的显卡一起来。就好比一个成年人和100个小朋友拔河。
再说了,虽然算力起来了,但你需要向另一个问题,显卡本身也是要钱的,算上硬体价格等各种成本,挖矿存在相当大的支出,你还想挖矿嘛?
除了烧显卡的机器,一些 ASIC(应用专用集成电路)专业挖矿机也在投入战场,ASIC是专门为Hash运算设计的,性能虽然不一定能秒杀显卡,但是也已经相当强劲,而且由于它们的功耗远比显卡低,因此更容易形成规模,电费开销也更低,单张独显很难与这些挖矿机竞争。而这种机器价格会更加昂贵。
3. 货币安全
支取需要多达数百位的密钥,而多数人会将这一长串的数字记录于电脑上,如果电脑出现问题,如硬碟损坏等问题,就可能让密钥永久丢失,这也导致了的比特币丢失,这就等于白干了,血亏。
粗略估计,丢失的可能达到160多万个。
虽然标榜自己 "防通货膨胀" (比特币是08年经济危机的产物),但是它却容易受到持有大量的大庄家的控制,有贬值的风险,涨跌堪称过山车,大家也可以上股市看一看,真的是惊涛骇浪。
美国蝴蝶实验室:
这家公司以很低的价格出售矿机,但并不给出确定的发货时间。
换句话说,购买者根本在付款之后,仍然无法确定是否能够买到矿机。
但由于买到矿机后很容易回本、赚钱,所以还是有不少人希望自己成为幸运儿,大胆付款预定。
这样的运作模式普遍不被看好,网上有很多不靠谱的厂商,只是偶尔出货一两台矿机。很多人拿到矿机就类似中了彩票。
烤猫采矿公司:
但是烤猫公司只出售少量矿机,这家公司主要向购买者出售公司股份,然后把挖出来的按照持股进行股票分红,同时股票可以自由转让。
Avalon(阿瓦隆)公司:
Avalon在出售了一批矿机之后,已经决定主要专注Avalon晶元的研发和生产。
2013年,中国国内开始有团队组装销售基于Avalon晶元的挖矿机。
早在2013年,就有黑客利用病毒,劫持他人电脑隐秘挖矿。但针对大型矿场矿机的攻击,却是再2018年左右才开始出现的。
在2018年8月到10月,问题开始集中爆发。
某些就是利用矿工病毒进行勒索,有些能在半夜,偷偷把一个矿场4000台矿机的挖矿地址,改成黑客的挖矿地址......
挖矿行为不仅仅会导致组织的电脑卡顿、CPU飚满、运维成本暴涨,一些挖矿的主机还可能会被植入病毒,导致组织重要数据泄露,或者黑客利用已经控制的机器,作为继续对内网渗透或攻击其他目标的跳板,导致更严重的网络安全攻击事件等。
矿机病毒的种类很多很多,在这里我查阅了很多资料,列举一些常见的矿机病毒。
hAnt 病毒早在 2018 年 8 月,就已经出现过,2019年一月才开始扩散。
由于大多数比特币挖矿机都在中国,所以中国感染情况最为严重。大多数受感染的矿机都是用于比特币采矿的 Antminer S9 和 T9 设备,不过报道称用于获得莱特币 Antminer L3 矿机也出现了感染,此外还有少量 Avalon Miner (也用于采集比特币)设备也出现了感染,不过数量少了很多。
hAnt病毒只要感染了一个采矿设备,病毒就会锁定设备并阻止其采矿。
当用户查看机器时,会出现一个蚂蚁图案,随后屏幕会显示一串文字,大意是受感染者帮忙感染所有或者支付赎金,否则病毒就会关闭采矿设备的风扇及过热保护,导致设备遭到破坏。对此,专家表示 hAnt 病毒理论上是可能滥用 Antminer 固件中的超频功能来过热和危害设备的。
其实早在 2018 年,Antminer 矿机公司就曾发布过安全警报,警告用户不要安装从其他网站下载的固件,值得注意的是,当时矿机公司发出的这个警报不仅仅是对于 Antminer 设备,它包括了所有类型采矿设备。
2019年1月5日晚,cC矿场的比特大陆矿机管理界面,突然变成了一张绿色的图片。图片中间是只蚂蚁,两边分别有一把矿工镐。这个病毒就是 hAnt。很显然,病毒的目标,是比特大陆的蚂蚁矿机。
黑客用中英两种语言留言告诉矿工,要免于被攻击,只有两个办法:
1. 将病毒以固件补丁的方式,传染给其他矿场的至少1000台机器;
2. 给黑客打10个比特币。
如果不这样就将关闭蚂蚁矿机的风扇和过热保护,“烧毁你的矿机甚至房子”。
第一个解决办法,是刷矿机的SD卡,即固件。
说白了就是给矿机换一个新的操作软件,这是解决问题最直接的方式。
缺点:一台台刷机,很花时间
第二个解决办法,换掉矿机的字节库,甚至控制板。
如果刷SD卡无效,可以使用这个办法
实在不行,就把矿机卖了
2021年7月,深信服安全团队已经成功捕获到一款主流的挖矿病毒样本,并对其工作原理进行了揭秘。详细内容可点击查看:《支持双系统挖矿,警惕新型AutoUpdate挖矿病毒入侵》
1. 通过钓鱼邮件、恶意站点、软件捆绑下载等方式诱导用户点击其恶意脚本程序。
2. 在用户点击启动恶意脚本loader.sh后,该脚本将清除安全软件,下载启动程(kworker)。
3. Kworker 程序检查并更新各功能组件,以及启动挖矿程序 dbus、攻击程序 autoUpdate、隐藏脚本 hideproc.sh、攻击脚本 sshkey.sh。
4. autoUpdate程序扫描并攻击所在网段的 Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb 和 SSH 等组件、服务或协议漏洞,以及国内用户常用的泛微 OA 、致远 OA、通达 OA、phpcms、discuz 等服务,并利用相关漏洞写入计划任务并执行。
5. 通过 hideproc.sh 脚本隐藏进程,防止被用户发现。
6. 通过 sshkey.sh 脚本尝试从 bash_history、etc/hosts、ssh/kownhost 及进程已有连接中提取该终端连接过的终端,如果可以成功连接则下载并启动脚本 loader.sh,达到传播目的。
7. 挖矿程序 dbus 在受害者的设备上悄悄运行以便挖掘加密货币,同时将中毒设备上连接到一个矿池,为欺诈者获取未经授权的“免费”计算能力,欺诈者直接将"免费算力"挣来的加密货币放入自己的钱包。
防火墙结合AI+规则库
例如:深信服下一代防火墙AF,通过AF本地具备的 130 万僵尸网络特征库,结合深信服云端威胁情报,以恶意URL和C&C IP地址对比的方式来监测失陷主机的非法外联行为。
例如:通过深信服下一代防火墙AF云端NTA检测引擎,结合AI技术与规则的闭环迭代技术,不仅能检测出不可读的随机字符构成的域名,还能检测出使用单词拼接方式仿造正常域名的恶意域名,快速识别异常外联流量,定位组织网络中的挖矿主机。
终端检测响应平台+挖矿处置专项安全服务
例如:深信服终端检测响应平台EDR,一旦在用户网络中发现挖矿病毒,深信服建议用户在网络中部署终端检测响应平台EDR,通过结合深信服挖矿处置专项安全服务,以“工具+服务”的方式实现全网挖矿病毒处置工作。
挖矿病毒的处置主要包括Linux系统与Windows系统的处置:
通过定时任务/服务的清除、特定文件的删除、文件中特定内容的删除、目录的删除、指定文件的恢复、病毒进程文件处置、病毒文件删除等处置动作,彻底清除用户网络中的挖矿病毒。
通过进程内存处置、自启动目录文件删除、自启动配件文件的清除/修改,注册表项的清除/修改,计划任务删除、账号删除、WMI自启动删除、文件的删除和恢复等处置动作,彻底清除用户网络中的挖矿病毒。
九、处理完第二天发现又有同样的异常,你会怎么办呢?
系列文章:
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三)
参考链接:
(5条消息) 每小时2000元!在病毒面前,矿机如裸奔一般“掉血”_区块链大本营-CSDN博客
比特币矿机出现勒索病毒 要么帮忙感染要么支付高额赎金 (baidu.com)
比特币挖矿机_百度百科 (baidu.com)
虚拟货币_百度百科 (baidu.com)
虚拟币_百度百科 (baidu.com)
矿机_百度百科 (baidu.com)
[原创]关于双系统挖矿,新型AutoUpdate挖矿病毒的分析与讨论-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com
幽灵病毒hAnt肆虐矿场,矿工每小时损失2000元 - 安全内参 | 决策者的网络安全知识库 (secrss.com)
全面清理整顿挖矿病毒,如何防止被通报?深信服挖矿病毒防护解决方案出炉 (chinaz.com)
想要解决矿场网络难题?你需要做到这四点 (baidu.com)