app Miner挖矿木马活动分析
内容提要
安天CERT监测到一种名为“app Miner”的挖矿木马,自2024年3月起活跃。该木马根据系统环境下载挖矿程序,动态调整运行参数以避免过度占用CPU资源。其攻击流程包括估算哈希率、查找可写目录和下载挖矿程序等,具备多种功能但默认未开启。攻击者利用多种技术实现持久化和权限提升,影响系统资源。
关键要点
-
安天CERT监测到名为“app Miner”的挖矿木马,自2024年3月起活跃。
-
该木马根据系统环境下载挖矿程序,动态调整运行参数以避免过度占用CPU资源。
-
攻击流程包括估算哈希率、查找可写目录和下载挖矿程序等。
-
该木马具备多种功能,但默认未开启,主要包括计划任务函数、服务函数、进程检查函数等。
-
通过控制线程数量,确保CPU资源占用不饱和。
-
支持查找系统中正在运行的竞品挖矿进程,并可结束这些进程。
-
下载挖矿程序时使用多种工具,如wget、curl、perl、Python等。
-
安天梳理了本次攻击事件对应的ATT&CK映射图谱,列出了攻击者使用的技术点。
-
IoCs包括多个IP地址,表明与该木马相关的网络活动。
延伸问答
app Miner挖矿木马的主要功能是什么?
app Miner挖矿木马的主要功能包括估算哈希率、查找可写目录、下载挖矿程序等,具备多种功能但默认未开启。
app Miner是如何避免被用户发现的?
app Miner通过动态调整运行参数,控制CPU资源占用不饱和,避免因资源消耗过多而被用户发现。
app Miner的攻击流程是怎样的?
攻击流程包括估算哈希率、查找可写目录、下载挖矿程序,并设置挖矿配置文件进行挖矿。
app Miner使用了哪些下载工具?
app Miner使用wget、curl、perl、Python等工具下载挖矿程序。
app Miner如何处理竞品挖矿进程?
app Miner支持查找系统中正在运行的竞品挖矿进程,并可以结束这些进程。
app Miner的IoCs有哪些?
app Miner的IoCs包括多个IP地址,如157.230.106.100、111.48.208.225等,表明与该木马相关的网络活动。
