前言：

2017結束了 2018年也剛剛開始 去年 挖礦事件的大爆發

也讓國內外網絡安全廠商不斷關註數字貨幣 區塊鏈技術

安全廠商為了對抗 挖礦 比如360給自己的殺毒軟件添加了 攔截挖礦的插件

而且更主要的事情是 國外安全廠商 也在一些比較大的挖礦僵屍網絡裏面獲取挖礦樣本 把

錢包地址 提取出來 並聯系礦池的 管理人員 停止支付僵屍網絡的錢包地址 來打擊作者

不過在金錢的誘惑下 怎麽可能罷手呢

MS016小組 在搜索全球網絡中 在一臺Linux機器裏面發現了 可疑的目錄 中的文件 並打包下來研究

先來看看loader.sh 腳本裏面內容

這個腳本是攻擊者利用 公布不久的漏洞 批量測試 傳馬留下的

這段命令很明顯是下載命令

http://bigbatman.bid/gcc 域名下的 gcc文件

gcc文件是什麽 沒有後綴 利用反匯編工具 檢查PE格式 是elf文件

在裏面查到了stratum這樣的字符串 這個肯定是 Linux下的挖礦程序

友情說明： Linux下的挖礦程序可以兼容 x86 x64

把挖礦程序放在Linux下運行後 知道用的挖礦軟件是xmrig

其實挖礦程序有很多 根據門羅算法寫的

上面是三種門羅挖礦程序

攻擊者使用的是xmrig

接下來看看http://bigbatman.bid/config_1.json

網站下的config_1.json配置文件

config_1.json文件是 挖礦軟件 中的配置文件

看主要二段 url 是礦池 而且user 並沒有添加錢包信息 可以說明這個地址是黑客的代理

直接代理挖礦 這樣更難溯源黑客的算力 和收入信息 而且有效可以抗擊 安全廠商的打擊

友情提示：隨著門羅幣全網算力難度 增大 2018 黑客也會找一些門羅幣一樣算法的新幣來 獲利

QQ交流群：176418830 歡迎交流

@感謝刀仔提供資料

黑客利用礦池代理躲避封殺