挖矿木马入侵的常规步骤

时间：2022-02-11 11:50:33

协议加密是未来IDS要解决问题。那么针对加密传输的情况，我们能够在握手协议和证书两个层面来做一些事情。由于挖矿的特殊性，矿池的域名、证书是不会轻易进行变化的，并且矿池的具有聚集属性，即越大的矿池集合到的矿机越多，越能够保证收益的稳定性。所以也可以针对排名较为靠前的矿池进行域名和证书的收集，添加针对性的检测策略。

B.利用威胁情报进行分析，中毒主机会发起针对矿池的DNS解析，与此同时常常伴随黑域名、DGA等解析信息，流量检测设备比对DNS中申请的域名进行识别，如果匹配上矿池域名即可识别出该主机已经中了挖矿木马病毒。

挖矿木马在进行挖矿时，会对矿池进行DNS查询和IP连接。通过对比收集的公开矿池域名和IP，在木马进行网络连接的时候可以有效告警。当然，这样不能检测连接私有矿池的挖矿木马，但是对连接公开矿池的挖矿木马具有很好的检测能力。如下所示，这是收集的部分公开矿池地址。

部署锐捷下一代防火墙联动大数据平台后，大量的挖矿域名访问、DGA访问、矿池IP访问都被阻断，实现了快速有效的隔离阻断。在解决方案上线的一周后，结合校内平台监控发现，每日挖矿主机数从双位数锐减到个位，整体相对满意。

挖矿木马入侵的常规步骤是先发起挖矿相关的DNS域名申请，然后根据DNS返回的IP，发起到矿池的登录和交互。传统的方案需要首先检测域名，然后针对后续的IP通讯进行阻断。虽然也起到阻隔挖矿的效果，但是由于放行DNS解析过程，容易被监管部门监测系统识别、通报。

挖矿木马入侵的常规步骤是先发起挖矿相关的DNS域名申请,然后根据DNS返回的IP,发起到矿池的登录和交互。传统的方案需要首先检测域名,然后针对后续的IP通讯进行阻断。虽然也起到阻隔挖矿的效果,但是由于放行DNS解析过程,容易被监管部门监测系统识别、通报。

但是在知道svchost.exe进程，实际并无意义，此时我们依然无法确定是谁在请求矿池地址。此时抓包发现，木马会没间隔一段时间就会向该矿池地址发起一次请求，因为网络一直无法通信，所以会一直在请求该矿池地址，我们抓取的数据包中也就只有这些重复的dns请求数据包，此时可尝试修改host文件伪造该域名解析地址，修改host文件如下图

标签：挖矿