请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册
发布
  • QQ空间
  • 回复
  • 收藏

比特币的挖掘:家里有矿,也要研究一下挖矿

2020-6-28 16:04


近一段时间"区域链"概念大火,越来越多的人开始投入到"挖矿"大军。

矿是啥,煤球么,不,是煤饼。。。

这能信么。。。

现在好多人其实都知道,挖矿指的是比特币的挖掘。

比特币系统由用户(用户通过密钥控制钱包)、交易(交易都会被广播到整个比特币网络)和矿工(通过竞争计算生成在每个节点达成共识的区块链,区块链是一个分布式的公共权威账簿,包含了比特币网络发生的所有的交易)组成 。比特币矿工通过解决具有一定工作量的工作量证明机制问题,来管理比特币网络—确认交易并且防止双重支付。由于散列运算是不可逆的,查找到匹配要求的随机调整数非常困难,需要一个可以预计总次数的不断试错过程。这时,工作量证明机制就发挥作用了。当一个节点找到了匹配要求的解,那么它就可以向全网广播自己的结果。其他节点就可以接收这个新解出来的数据块,并检验其是否匹配规则。如果其他节点通过计算散列值发现确实满足要求(比特币要求的运算目标),那么该数据块有效,其他的节点就会接受该数据块 。

一、挖矿木马事件


"影子经纪人" (ShadowBrokers)在2017年4月公开了多个Windows 远程漏洞利用工具(大名鼎鼎的NSA武器库),当时可以覆盖全球70%的服务器,影响非常巨大,两年中大量黑客组织使用该武器库攻击企业及个人用户。两年之后,虽有大部分企业及个人用户已经安装补丁,但仍有相当多的服务器在倔强"裸奔",黑客团伙仍然可以频频利用该系列攻击工具肆意传播病毒木马。

近期由于各种加密虚拟币市场回暖,挖矿木马变得更为活跃。"Blouiroet"挖矿木马复苏,该木马由delphi语言编写,木马运行时,会首先结束所有其他挖矿木马进程,独占系统资源运行门罗币挖矿程序。

"Blouiroet"挖矿木马复苏之后,首先更新多个IP、域名等基础设施,该木马团伙还自建多个矿池,堪称"家里有矿"。"Blouiroet"挖矿木马控制的肉鸡电脑分布在多个国家,俄罗斯、乌克兰等地受害严重,中国有部分电脑系统中招。

二、详细分析


黑客利用NSA武器库攻入用户电脑,可以看到此次只使用了"永恒之蓝"利用工具,入侵成功后植入"双脉冲星

比特币的挖掘:家里有矿,也要研究一下挖矿

Scan.txt包含了黑客扫描的IP段

比特币的挖掘:家里有矿,也要研究一下挖矿

入侵成功后植入payload,三个版本的入口处分别下载a.rar、b.rar、c.rar

比特币的挖掘:家里有矿,也要研究一下挖矿

下载后是一个用NSIS打包的程序nw.exe,释放文件到syswow64目录

比特币的挖掘:家里有矿,也要研究一下挖矿

之后把svchosts.exe注册为服务程序

比特币的挖掘:家里有矿,也要研究一下挖矿

服务名为AudioServer(名称伪装为音乐播放相关的服务),注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\services\\AudioServer

比特币的挖掘:家里有矿,也要研究一下挖矿

Svchosts入口处读取parameters.ini配置,找到mainer_exe的配置路径,上报信息至mainer_param_str列表

比特币的挖掘:家里有矿,也要研究一下挖矿

如果上报字段显示未发现矿机,则服务器返回xmrig矿机下载地址atskiysatana.tk/xmrig32.zip,根据配置解压到C:\\ProgramFiles\\Common Files\\System\\

比特币的挖掘:家里有矿,也要研究一下挖矿

矿机基于xmrig2.14编译,矿机启动后,根据proceslist内容持续检测进程,如果发现就停止挖矿程序,以防被发现异常。

比特币的挖掘:家里有矿,也要研究一下挖矿

同时监测同类并杀死同类,如下常见的挖矿木马使用的路径,如:匿影、wannaminer等。

比特币的挖掘:家里有矿,也要研究一下挖矿

矿机安装成功后,上报数据,服务器地址在parameters.txt的serverHS节

比特币的挖掘:家里有矿,也要研究一下挖矿

如果serverHS配置的域名无法访问,则使用内置的两个IP

比特币的挖掘:家里有矿,也要研究一下挖矿

上报的矿机状态

比特币的挖掘:家里有矿,也要研究一下挖矿

该木马可同时下发多种挖矿木马,为避免矿机名字冲突会对矿机进行更名

比特币的挖掘:家里有矿,也要研究一下挖矿

Svchosts.exe定时检测更新,如果发现有新版本,则从hxxp://hashserver1.tmweb.ru/pocket/HS_Svc.exe下载更新

比特币的挖掘:家里有矿,也要研究一下挖矿

如果从该地址下载失败,则用另外的地址hs-fileserver.info下载,下载前会首先获取访问token

比特币的挖掘:家里有矿,也要研究一下挖矿

下载完成后,释放update.bat完成更新

比特币的挖掘:家里有矿,也要研究一下挖矿

三、关联分析


根据该木马释放在syswow64的文件目录关系,发现该挖矿木马就是去年国外安全研究机构爆出的Blouiroet家族。

比特币的挖掘:家里有矿,也要研究一下挖矿

且其中一个域名完全相同:hs-fileserver.info

比特币的挖掘:家里有矿,也要研究一下挖矿

四、其他挖矿姿势


一般来说,设备在挖矿时所产生的热能并不是人们所"喜闻乐见"的,因为这样会减少硬件的使用寿命。但是Qarnot所设计的QC-1加热器却可以在挖矿的同时,利用设备挖矿所产生的热能来温暖你的家。

Qarnot是一家法国加热器制造公司,而这家公司所设计的产品似乎给大家提供了一种新的加密货币使用途径。这款设备可以通过挖矿所产生的热能来温暖你的家,而挖矿所得的加密货币全部归用户所有。更加重要的是,用户可以利用这些加密货币来抵消设备的购买费用以及电费账单。

QC-1内置了两块Sapphire Nitro+Radeon RX 580 8G图形卡,并且完全没有安装任何的散热风扇,所以不会产生任何噪音。在满性能运行状态下,集成的GPU在挖矿(以太坊)过程中将会生成60MH/s的哈希算力。

下图显示的是QC-1加热器中的内部构造:

比特币的挖掘:家里有矿,也要研究一下挖矿

用户可以通过手机端App来控制加热器的运行,并允许用户配置加热器所要挖的加密货币、加密货币矿池/钱包地址、以及你想要的房间温度。

比特币的挖掘:家里有矿,也要研究一下挖矿

目前,QC-1加热器的订购价为2900-3600美元。就算挖到的加密货币可以抵消一定的购买费用,但这个价格对于一款加热器来说还是有点太贵了。根据TechCrunch提供的数据,这款加热器每个月能挖出价值约120美元的以太坊,而且还没有把电费价格算进去。除此之外,随着时间的推移,以太坊的挖矿速度随着计算难度的增加可能会降低,所以QC-1每个月能给你带来的"利润"会慢慢减少。

五、最后


挖矿姿势千千万,还一种最令人所不齿的,就是借助网页代码入侵别人的电脑进行挖矿。

现在很多浏览器都内置了"反挖矿"功能,设置方法很简单,进入浏览器 "选项",打开"高级设置"→"安全设置",然后勾选"挖矿保护(禁止执行数字货币挖矿脚本,防止硬件资源被利用)"复选框即可。此外另一款知名浏览器Opera也有类似设计,在"设置"→"隐私和安全"中勾选"拦截广告并将浏览网页的速度提升三倍",然后再从弹出列表中选择"NoCoin(加密数字货币挖掘保护)"即可。如果你的浏览器中没有"反挖矿"保护也没关系?小编这里推荐大家下载一款名为"minerBlock"的第三方插件,可作用于所有非Trident内核的浏览器上,能够有效拦截挖矿网页。minerBlock的官方网站为"https://github.com/xd4rker/MinerBlock",提供了Chorme、Opera、Firefox三种内核插件的下载。将它安装到浏览器里,就可以自动检测网页中的JS脚本。除了通过插件拦截"挖矿"脚本外,一些第三方安全工具也开始集成"反挖矿"功能。比方说最新版QQ电脑管家,就提供了挖矿脚本拦截服务。当程序检测到网页中存在疑似挖矿脚本后,会自动通过弹窗予以拦截,整个操作很像是恶意代码拦截。能够提供更加全面广泛的保护级别。其实网站利用浏览器"挖矿"的原理,就是在页面中嵌入了一小段JS代码。"阻止者"只要阻止这段JS代码运行,便成功地完成了"反挖矿"任务。因此从原理上说,禁用浏览器的Javascript也可以杜绝网页挖矿的发生。但这样做通常会导致一些正常的JS代码被拦截,因此并不是很推荐。目前除了一些携带恶意代码的网页之外,还有一些浏览器插件也加入了"挖矿"的队伍,因此对于自己不熟悉或者安装后CPU持续高企的插件,更要擦亮眼睛。目前检测插件是否有效的一个方法,是借助一款名为"tools.ldstu.com"(http://tools.ldstu.com/miner/index.html)的模拟网站。只要插件弹出相应提醒,即可判定插件有效。此外我们也可以通过监控CPU占用率,来判断自己的电脑是否"被挖矿"。如果是一些恶意插件所致,则可以通过删除未知插件,检查CPU用量是否恢复正常的方法,判断是否"被探矿"!

结语


关注我
文章点评
相关新闻