app Miner挖矿木马活动分析
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
安天CERT监测到一种名为“app Miner”的挖矿木马,自2024年3月起活跃。该木马根据系统环境下载挖矿程序,动态调整运行参数以避免过度占用CPU资源。其攻击流程包括估算哈希率、查找可写目录和下载挖矿程序等,具备多种功能但默认未开启。攻击者利用多种技术实现持久化和权限提升,影响系统资源。
🎯
关键要点
- 安天CERT监测到名为“app Miner”的挖矿木马,自2024年3月起活跃。
- 该木马根据系统环境下载挖矿程序,动态调整运行参数以避免过度占用CPU资源。
- 攻击流程包括估算哈希率、查找可写目录和下载挖矿程序等。
- 该木马具备多种功能,但默认未开启,主要包括计划任务函数、服务函数、进程检查函数等。
- 通过控制线程数量,确保CPU资源占用不饱和。
- 支持查找系统中正在运行的竞品挖矿进程,并可结束这些进程。
- 下载挖矿程序时使用多种工具,如wget、curl、perl、Python等。
- 安天梳理了本次攻击事件对应的ATT&CK映射图谱,列出了攻击者使用的技术点。
- IoCs包括多个IP地址,表明与该木马相关的网络活动。
➡️
