帮闲电子商务_绿兔子源码_破解软件_网站源码_原创软件_游戏影视娱乐 - LVTZ.COM

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 10320|回复: 4

MrbMiner加密矿恶意软件运行原理

  [复制链接]

该用户从未签到

225

主题

616

帖子

1891

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
1275
注册时间
2020-2-9
在线时间
0 小时
发表于 2021-1-23 16:35:44 | 显示全部楼层 |阅读模式
腾讯去年9月首次对它进行了记录,发现MrbMiner的目标是面向互联网的MSSQL服务器,目的是安装一个加密矿工,该矿工劫持了系统的处理能力,可以挖掘Monero并将其汇入攻击者控制的帐户。


该黑客组织用来托管其恶意挖矿软件的域之一是“ MrbMiner”的名称。
研究人员表示: “在许多方面,MrbMiner的操作似乎是我们针对面向互联网服务器的大多数cryptominer攻击的典型代表。这里的区别在于,攻击者在隐瞒其身份时似乎非常谨慎。与该矿工的配置,其域和IP地址有关的许多记录都指向单个起源点:位于伊朗的软件公司。”


MrbMiner通过使用弱密码的各种组合对MSSQL服务器的admin帐户进行暴力攻击来确定其任务。
获得访问权限后,将下载名为“ assm.exe”的特洛伊木马程序以建立持久性,添加后门帐户以供将来访问(用户名:默认值,密码:@ fg125kjnhn987),并检索在加密机上运行的Monero(XMR)加密货币矿工有效负载。目标服务器。
安全人员称,这些有效负载(以sys.dll,agentx.dll和hostx.dll等各种名称调用)是故意错误命名的ZIP文件,每个文件都包含矿工二进制文件和配置文件等。
考虑到匿名性,加密劫持攻击通常更难以归因,但是对于MrbMiner来说,攻击者似乎犯了错误,将有效负载位置和命令和控制(C2)地址硬编码到下载器中。


有问题的域名之一“ vihansoft [。] ir ”不仅已注册到伊朗软件开发公司,而且有效载荷中包含的已编译矿工二进制文件还留下了明显的迹象,该迹象表明该恶意软件已将其连接到现已关闭的GitHub帐户,用于托管它。
佛山市东联科技有限公司安全研究人员透露:“加密劫持是一种无声且无形的威胁,易于实施且很难检测到。此外,一旦系统遭到入侵,它就为勒索软件等其他威胁打开了大门。因此,重要的是不要停止加密劫持。要注意一些迹象,例如计算机速度和性能下降,用电量增加,设备过热以及对CPU的需求增加。” (欢迎转载分享)
回复

使用道具 举报

该用户从未签到

259

主题

673

帖子

2048

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
1375
注册时间
2020-2-9
在线时间
0 小时
发表于 2021-1-23 17:00:47 | 显示全部楼层
学习下
回复

使用道具 举报

该用户从未签到

0

主题

381

帖子

1160

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
779
注册时间
2020-2-9
在线时间
0 小时
发表于 2021-1-24 18:30:08 | 显示全部楼层
回复

使用道具 举报

该用户从未签到

0

主题

384

帖子

1139

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
755
注册时间
2020-2-9
在线时间
0 小时
发表于 2021-1-25 05:00:43 | 显示全部楼层
大人,此事必有蹊跷!
回复

使用道具 举报

该用户从未签到

0

主题

50

帖子

560

积分

璀璨钻石

Rank: 4

精华
0
威望
0
听众
0
萝卜
510
注册时间
2020-2-9
在线时间
0 小时
发表于 2021-2-1 01:02:00 | 显示全部楼层
不错,顶一个!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|帮闲电子商务LVTZ.COM |冀公网安备(冀ICP备17031353号-2)

GMT+8, 2024-12-26 00:20 , Processed in 0.098680 second(s), 28 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表