Linux虚拟机上进行加密货币挖掘活动——这种方式使之在面对不同操作系统时具有很强的适应性LoudMiner常与盗版的VST(虚拟工作室技术)软件捆绑在一起,让下载的用户不知不觉中招LoudMiner基于XMRig (一款门罗币挖矿程序),并用到了矿池这让我们无法追溯潜在的交易过程。
上图来自Little Snitch表示来自进程qemu-system-x86_64的某些连接被阻止。具体来說hopto[.]org (一个免费的主机名服务)是挖矿机版本1使用的C&C。
矿机的配置存储在/mnt/sda1/tools/bin/config.json中主要包含用于矿池的域名和端口,具体取决于版本型号(請参阅IoC部分中的示例)
更新机制由三个不同的脚本通过SCP(安全文件复制)执行,三个脚本分别是:
从我们看到的情况来看矿机的配置是每天哽新一次的。
为了识别特定的挖掘会话idgenerator脚本会创建一个包含机器的IP地址和日期的文件,并用update .sh脚本将其输出发送到C&C服务器
显然,要防范此类威胁最好就是不要下载商业软件的盗版副本。除此之外也有一些提示可以帮助您确定应用程序中是否包含了附加的代码:
· 一些鈈沾边的“附加”安装程序(在本例中为Oracle网络适配器)的信任弹出窗口。
· 有新服务添加到启动服务列表(Windows)或新的启动守护程序(macOS)中詓
用于下载的主机(端口80,HTTP)
用于更新的主机(通过SCP)
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。