系统|挖矿分析-2

今天接着对这个进行分析,由于经验不足,没有对其log文件进行深入研究,昨天给那个md(挖矿木马)给了同事,然后他告诉我确定是个XMR(门罗币)挖矿,然后发送了一张图给我
系统|挖矿分析-2
文章图片




【系统|挖矿分析-2】注意到这个地址:fee.xmrig.com:443
我们对其google一下:
系统|挖矿分析-2
文章图片


再次确定了这个XMRIG是个XMR的CPU矿工,然后我们继续查找,在github上发现这个XMRIG是个开源挖矿工具,C++写的
地址是:https://github.com/xmrig/xmrig#usage
系统|挖矿分析-2
文章图片


我们把这个挖矿工具先下载到我们的服务器上
git clone https://github.com/xmrig/xmrig.git

对其编译,运行,这里先暂停一下
我们把注意力放到XMRIG这个挖矿工具的一个配置文件config.json
系统|挖矿分析-2
文章图片


可以知道黑客挖矿的话所有的门罗币都是通过"url": "failover.xmrig.com:443"这个矿池来处理。
再次回到之前的受害服务器的log文件,定位到所有的md文件的命令操作,发现一条重要命令,通过查询发现,这条命令是运行md挖矿木马的命令
系统|挖矿分析-2
文章图片


使用那条命令,我们将其md文件拷贝到本机的kali下面进行分析
系统|挖矿分析-2
文章图片


通过查询该ip地址115.234.218.70,地点是爱尔兰,就是矿池的ip
系统|挖矿分析-2
文章图片




接下来,我们重点分析一下之前的那条命令
./md --cpu-affinity=0xFFFFFFFF --cpu-priority=5 --max-cpu-usage=90 --donate-level=1 --nicehash -o stratum+tcp://185.234.218.70:80 -u 9b270a4a353480ceb04c8bbe879f66 -p x -k

-cpu-affinity=0xFFFFFFFF --cpu-priority=5 --max-cpu-usage=90,这几个都是cpu配置参数,我们不管,--donate-level=1,这个--donate-level是默认捐赠比例,XMRIG软件默认的捐赠是 5 %,最低为 1 % ,--nicehash -o stratum+tcp://185.234.218.70:80 ,这个是矿场配置。stratum是一种服务器的覆盖协议,-u 9b270a4a353480ceb04c8bbe879f66,这个比较重要,指向的是黑客的XMR钱包(我们可以篡改他的钱包地址哈哈)

系统|挖矿分析-2
文章图片




系统|挖矿分析-2
文章图片




我们现在最关心的事情就是黑客的ip地址,然后社工一波黑客,嘿嘿,坐等接下来的分析把...

这里我补充一下门罗币挖矿流程:
系统|挖矿分析-2
文章图片


参考链接:
https://mp.weixin.qq.com/s?__biz=MzAwMTUwNDMwMQ==&mid=305803785&idx=1&sn=947011819671cb989f3866d3aa6f22b2&mpshare=1&scene=1&srcid=04274nmPA3dpwY3NnGZPOF4B#rd

https://blog.csdn.net/xiao_tata/article/details/78888782

https://en.bitcoin.it/wiki/Stratum

https://www.nicehash.com/?lang=zh

https://github.com/xmrig/xmrig










    推荐阅读