挖矿木马基础知识

news2024/11/15 6:47:22

文章目录

    • 一、概述
    • 二、挖矿介绍
    • 三、挖矿的收益
    • 四、挖矿木马的传播方式
      • 漏洞利用
      • NSA武器的使用
      • 无文件挖矿
      • 利用网页挂马
      • 暴力挖矿病毒
      • 黑吃黑
    • 五、防范建议
    • 六、学习参考

一、概述

比特币(Bitcoin)的概念最初由中本聪在 2008年11月1日提出,并于 2009年1月3日正式诞生。根据中本聪的思路设计发布的开源软件以及建构其上的 P2P 网络。比特币是一种 P2P 形式的数字的加密虚拟货币。点对点的传输意味着一个去中心化的支付系统。与所有的货币不同,比特币不依靠特定货币机构发行,它依据特定算法,通过大量的计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。并使用密码学的设计来确保货币流通各个环节安全性。2013年流行的虚拟货币有比特币、莱特币、无限币、夸克币、泽塔币等。由于比特币不是法定货币,且交易存较大风险,自2013年以来,国家有关部门对比特币进行了有效的管控,并出台了相应的政策和法规:

  • 2013年12月5日,《中国人民银行工业和信息化部 中国银行业监督管理委员会中国证券监督管理委员会 中国保险监督管理委员会关于防范比特币风险的通知》:比特币是一种特定的数字商品;比特币交易作为一种互联网上的商品买卖行为,普通民众在自担风险的前提下,拥有参与的自由。
  • 2017年9月4日,《中国人民银行中央网信办工业和信息化部 工商总局 银监会 证监会 保监会关于防范代币发行融资风险的公告》:禁止从事代币发行融资活动(ICO);交易平台不得从事法定货币与代币、“虚拟货币”相互之间的兑换业务,不得买卖或作为中央对手方买卖代币或“虚拟货币”,不得为代币或“虚拟货币”提供定价、信息中介等服务。
  • 2021年6月21日,,中国人民银行有关部门就银行和支付机构为虚拟货币交易炒作提供服务问题,约谈了多家银行和支付机构,禁止使用机构服务开展虚拟货币交易。
  • 2021年9月3日,国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知。要求全面梳理排查虚拟货币“挖矿”项目。禁以数据中心名义开展虚拟货币“挖矿”活动等要求。
  • 2022年开始,国资委每年发送通知,要求开展虚拟货币“挖矿”活动清理相关工作。

基于目前比特币等虚拟货币存在着大量的商业价值,市场上许多黑客和不法分子通过植入后门等途径,非法利用第三计算机资源进行挖矿行为。目前国内很多数据中心、办公电脑成为了很多不法分子挖矿的资源。为更好净化网络环境和节能减排,需对数据中心出口、网络边界出口进行流量监控和分析,发现非法挖矿应用,并对相关应用进行有效的阻断,从而保障服务器、办公电脑等资产不被侵占。

二、挖矿介绍

挖矿:是对加密货币(比如比特币)开采的一个俗称开采比特币就像是求解一道数学题,最先得到答案,就获得相应的奖励,所以整个求解并验证的过程就叫做挖矿。挖矿主要有三种方式:第一类使用专业的矿机;第二类使用高速显卡挖矿;第三使用CPU挖矿;矿机:协助破解数字答案的设备就称为矿机。
矿工:运行矿机,获得收益的人群就被成为矿工。
矿场:矿场是很多台矿机组合到一起,使得算力增强。钱包:像一张银行卡一样,拥有一个唯一卡号(地址)来接收或发送你的虚拟货币矿池挖到币以后,给你发到这个地址上,币就进入了你的钱包。
矿池:随着参与挖矿的人越来越多,比特币全网的算力不断上涨,单个设备或者少量的算力都很难再挖到比特币,这个时候矿池就产生了,矿池是突破地址位置的限制,将各地的算力汇聚起来增强算力,并把收益平分给所有算力,保证矿池参与者收入稳定。那么所有队伍中的人会根据每个人的电脑性能进行分红。
比如:1000人在同一个矿池中挖矿,挖出一个区块后,这个区块产生的N个比特币的报酬,会根据这 1000个人的电脑性能进行分红。如果你的电脑性能强劲,也许会分到 100分之 1,如果性能落后,也可能会分到 10000分之1。

三、挖矿的收益

当下互联网的贸易,几乎都需要借助金融机构作为可信赖的第三方来处理电子支付信息,此类交易方式受限于“基于信用的模式”,无法实现完全不可逆的交易。比特币之父中本聪提出了电子支付系统,基于密码学原理,使得任何达成一致的双方,直接进行支付而不需要第三方中介参与。所谓的比特币实际就是一串数字签名,每一位所有者通过对前一次交易和下一位拥有者的公钥(Public key)签署的一个随机散列的数字签名。
比特币就是一串字符串,所谓的比特币交易也是一个地址转移到另外一个地址,并且比特币的交易记录也是公开的,每个地址拥有多少比特币都是公开的,可以通过https://blockchain.info/ 地址进行查询,只需要通过BTC地址就可查询到相关账户的比特币信息。
当两个账户进行交易时,付款方需要提供上一笔交易hash、本次交易双方地址、支付方公钥、支付方私钥生成的数字签名,整个交易过程如下:
在这里插入图片描述
在确认交易的真实性后,交易数据需要写入区块中,此时整个交易才算结束。写入区块的过程就是矿工所做的工作。根据比特币协议,一个区块大小大约是1MB,而每一笔交易大约是500字节左右,一个区块大约可以存储2000多条记录,矿工们负责将这些交易打包成一个区块,并且计算这个区块的hash值,也就是记账工作。中本聪最初设计是大约每10分钟产生一个区块,为了增加计算难度,引入了工作量证明(Proof-of-Work)。在区块中补增随机数(Nonce),这个随机数要使得该给定区块的随机散列值出现了所需的那么多个 0。我们通过反复尝试来找到这个随机数,直到找到为止,这样我们就构建了一个工作量证明机制。
挖矿的过程实际就是在计算一道数学题,计算sha256(sha256(上一个Hash值,交易记录集,随机数)),通过不停的变换随机数,在经过海量计算后找到满足目标的hash数值。Hash的值由数字、大小写字母组成,每一位有62(10个数字、26个大写、26个小写)种可能性,那么第一位出现0的概率大约为62分之一,如果前两位为0则需要尝试62的平方次,如下区块前19位为0,则相当于尝试了62的19次方次计算,应该是已经上亿亿级别的运算了。
找到满足的hash值后,将记录添加到区块链中,也就意味着挖矿成功了,会获取整个区块的收益。由于需要较强的算力,所以现在很多矿工都加入矿池,通过贡献自己的算力共同挖矿,在获取收益后根据各自的贡献进行分享。这也就能解释多数被植入挖矿木马的机器,都会出现cpu使用骤增、耗电量增多现象,在挖矿木马进行分析时会发现矿池相关信息。
比特币协议规定,挖到新区块的矿工将获得奖励,一开始(2008年)是50个比特币,然后每4年减半,目前(2019年)是12.5个比特币。由于比特币可以分割到小数点后八位,那么到了2140年,矿工将得不到任何奖励,比特币的数量也将停止增加,大约为2100万个。这时,矿工的收益就完全依靠交易手续费了。

四、挖矿木马的传播方式

现在很多的挖矿木马已经不在像之前那样傻傻的,通过top、netstat等命令可以直接看到恶意程序,现在会使用一些隐藏手段去隐藏挖矿进程来存活更久。其感染方式也是变的多种多样。

漏洞利用

Windows系统漏洞、服务器组件插件漏洞、中间件漏洞以及web漏洞;redis、ssh、3389、mssql、IPC$等各种弱口令漏洞。利用系统漏洞或弱口令快速获取相关服务器权限,植入挖矿木马。

NSA武器的使用

“方程式黑客组织”使用的部分网络武器被公开,其中包括可以远程攻破全球约70% Windows系统的漏洞利用工具。包括永恒之蓝、永恒冠军、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。黑客NSA武器进行批量漏洞扫描攻击,获取更多肉鸡,植入挖矿木马贡献算力。

无文件挖矿

通过在Powershell中嵌入PE文件加载的形式,达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地,直接在Powershell.exe进程中运行,这种注入“白进程”执行的方式可能造成难以检测和清除恶意代码。

利用网页挂马

网站在其网页内嵌了挖矿 JavaScript 脚本,用户一旦进入此类网站,JS 脚本就会自动执行,自动下载若干个病毒。部分系统存在flash高危安漏洞,也被攻击者利用,使电脑自动运行挖矿代码。

暴力挖矿病毒

360 发现了可以迅速传播的挖矿劫持程序WinstarNssmMiner。这个恶意程序的特别之处在于,卸载它会让受害者的计算机崩溃。WinstarNssmMiner首先启动svchost.exe进程并向其植入代码,然后将该进程的属性设置为CriticalProcess。由于计算机将其视为关键进程,因此一旦强制结束该进程,计算机就会蓝屏。

黑吃黑

因为比特币地址很长,为了方便使用很多人会选择保存在本地,很多挖矿木马会带有劫持剪贴板功能,当监视到受害主机出现比特币交易时,会将收款钱包替换为自己的钱包地址,从而盗取受害者资产。
最后蹭网也可能会被成为他人矿工,之前星巴克的公共wifi就被爆出被黑客利用来进行挖矿,黑客主要通过入侵 WIFI 提供商,在 WIFI 连接页面被植入挖矿代码,导致用户在连接 WIFI 时执行挖矿程序。

五、防范建议

  • 规范上网行为,不要下载来历不明的软件、工具;
  • 及时安装系统补丁,修复应用系统应用漏洞、中间件漏洞、组件、插件等相关漏洞。
  • 加强密码策略,增加密码复杂度定期进行密码修改,开启相关登录失败处理策略,防止攻击者暴力破解。

六、学习参考

https://www.anquanke.com/post/id/181873

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1620614.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Shell全套课程2小时速通从小白变高手

1.Shell概述 1.1为什么要学shell ​ 1.看懂运维人员编写的shell脚本 ​ 2.偶尔会编写一些简单的shell程序来管理集群,提高开发效率 1.2 Shell介于外层应用和LInux内核之间;用来操作Linux内核; Shell是一个命令行解释器,它接收…

算法课程笔记——如何进制转换

python特性 八、为什么负数的补码的求法是反码1 因为负数的反码加上这个负数的绝对值正好等于1111,在加1,就是10000,也就是四位二进数的模,而负数的补码是它的绝对值的同余数,可以通过模减去负数的绝对值得到它的补码&…

2024最新SSL证书在线申请系统源码 | 支持API接口 支持在线付费 二开优化版

内容目录 一、详细介绍二、效果展示1.部分代码2.效果图展示 三、学习资料下载 一、详细介绍 2024最新SSL证书在线申请系统源码 | 支持API接口 支持在线付费 二开优化版 最新SSL证书在线申请系统源码 | 支持API接口 SSL证书保证网络安全的基本保障。向您介绍我们的在线生成SSL…

权威解析Spring框架九大核心功能(续篇):专业深度,不容错过

作者介绍:✌️大厂全栈码农|毕设实战开发,专注于大学生项目实战开发、讲解和毕业答疑辅导。 推荐订阅精彩专栏 👇🏻 避免错过下次更新 Springboot项目精选实战案例 更多项目:CSDN主页YAML墨韵 学如逆水行舟&#xff0c…

速度与激情:超高速--100G网卡篇

在数字化时代,信息传输的速度和效率成为了各个领域的关键。在这个快节奏的世界里,网络连接的快慢直接影响着工作效率、生活质量甚至是创新能力。而在网络连接技术中,网卡的作用举足轻重。近年来,随着网络技术的不断发展&#xff0…

路由引入,路由过滤,路由策略简单实验

实验要求: 1、按照图示配置 IP 地址,R1,R3,R4 上使用 1oopback 口模拟业务网段 2、R1 和 R2 运行 RIPv2,R2,R3和R4 运行 OSPF,各自协议内部互通 3、在 RIP 和 OSPF 间配置双向路由引入&#x…

在PostgreSQL中,如何创建一个触发器并在特定事件发生时执行自定义操作?

文章目录 解决方案示例代码1. 创建自定义函数2. 创建触发器 解释 在PostgreSQL中,触发器(trigger)是一种数据库对象,它能在特定的事件(如INSERT、UPDATE或DELETE)发生时自动执行一系列的操作。这些操作可以…

短期斩获多个访问学者邀请函|高校教师获批CSC赴伦敦大学学院

B老师申报的是2023年CSC西部/地方合作项目,因申报在即,所以时间是第一要素,国家定位在英国及澳大利亚。经过努力,我们先后获得英国布里斯托大学、伦敦大学学院及澳大利亚昆士兰大学等多个邀请函,最终其选择了英国伦敦大…

CSS学习(选择器、盒子模型)

1、CSS了解 CSS:层叠样式表,一种标记语言,用于给HTML结构设置样式。 样式:文字大小、背景颜色等 p标签内不能嵌套标题标签。 2、CSS编写位置 1、行内样式(内联样式):在标签里添加样式&#…

谷歌搜索SEO优化需要做什么?

最基本的要求,网站基础要优化好,让你的网站更加友好地服务于用户和搜索引擎,首先你要保证你的网站也适配手机端,现在手机端,如果你的网站在手机上打开慢,或者没有适配手机端,让用户用手机看着电…

Git merge的版本冲突实验

实验目的 发现 两个分支的 相同文件 怎样被修改 才会发生冲突? 实验过程 1.初始状态 现在目前有1.py、2.py两个文件,已经被git管理。现在我想制造冲突,看怎样的修改会发生冲突,先看怎么不会发生冲突。 目前仓库里的版本是这样…

【MySQL】A01、性能优化-参数监控分析

1、参数监控 1.1、MySQL command 查看 mysql>SHOW STATUS; (服务器状态变量,运行服务器的统计和状态指标) mysql> SHOW VARIABLES;(服务器系统变量,实际上使用的变量的值) mysql> SHOW STATUS …

2024年 团体程序设计天梯赛个人总结

前言: 这是一个悲伤的故事~ 🏆题目传送门 ⭐L1一阶题⭐L1-097 编程解决一切(5分)⭐L1-098 再进去几个人(5分)⭐L1-099 帮助色盲(10分)⭐L1-100 四项全能(10 分&#xff0…

做大模型产品,如何设计prompt?

做GenAI产品,除了要设计好的AI任务流程,合理的拆分业务以外,最重要的就是写好prompt,管理好prompt,持续迭代prompt。 prompt一般有两种形式:结构化prompt和对话式prompt。 结构化prompt的优点是通过规范的…

C++:二叉树进阶

二叉搜索树 二叉搜索树又称二叉排序树,它或者是一棵空树 ,或者是具有以下性质的二叉树 : 若它的左子树不为空,则左子树上所有节点的值都小于根节点的值 若它的右子树不为空,则右子树上所有节点的值都大于根节点的值 它的左右子…

超分中使用的损失函数和经典文章

损失函数 https://towardsdatascience.com/super-resolution-a-basic-study-e01af1449e13 在GAN出现之前,使用的更多是MSE,PSNR,SSIM来衡量图像相似度,同时也使用他们作为损失函数。 MSE 表面上MSE直接决定了PSNR,MSE&#xff…

路径规划算法 | A* 搜索算法

作者:Rachit Belwariar 编译:东岸因为一点人工一点智能 路径规划算法 | A* 搜索算法https://mp.weixin.qq.com/s/lTVkknLWZ4ERYnv8m0JCGQ 动机:为了在现实生活中近似求解最短路径,例如地图、游戏等存在许多障碍物的情况。我们可…

Linux命令超详细介绍

目录 安装 Linux的目录结构: Linux命令入门: Linux命令的基础格式: 例子: ls 参数 选项 注意: 目录切换命令:cd/pwd cd: pwd: 相对路径和绝对路径: mkdir 不用参数: …

非Root用户编译C程序如何生成Core文件

非Root用户编译C程序如何生成Core文件 一.生成core文件的步骤1.设置核心转储文件大小为不限制2.**修改核心转储文件生成路径**3.指定core的生成目录为当前目录下4.测试程序 二.核心转储相关设置文件 一.生成core文件的步骤 1.设置核心转储文件大小为不限制 #查询生成core文件…