Golden Observation丨¿Un buen mercado estimulará la actividad de los troyanos mineros? Tencent Security publicó el Informe anual sobre troyanos mineros de 2019

En 2020, varias criptomonedas encabezadas por Bitcoin están a punto de reducirse a la mitad Impulsado por los beneficios de la reducción a la mitad y el desarrollo de la industria de la cadena de bloques, el precio de Bitcoin generalmente muestra una tendencia al alza, y las criptomonedas también son populares entre los inversores de todos los ámbitos de la vida. favor A medida que el mercado repunta, es probable que aumenten los troyanos mineros. Recientemente, Tencent Security publicó el Informe anual sobre troyanos mineros de 2019. Aprovechemos esta oportunidad para hablar sobre los troyanos mineros.

Principios y tipos de troyanos mineros

Tencent Security señaló en el informe de caballos de Troya de minería de 2019 que las tres familias de caballos de Troya de minería más activas en 2019 son WannaMiner, MyKings y DTLMiner (caballo de Troya descargador de Eternal Blue).Empecemos con estos tres.

Entre ellos, MyKings es una familia de botnets anticuada, mientras que WannaMiner y DTLMiner aparecieron a principios y finales de 2018 respectivamente. En 2019, estas familias han infectado a más de 20.000 usuarios y su característica común es que utilizan la vulnerabilidad "Eternal Blue" para propagar gusanos y utilizan varios tipos de técnicas de ataque persistente, que son difíciles de eliminar por completo.

Todos sabemos que el proceso de minería es simplemente calcular el valor hash del bloque actual y generar un bloque. Si no hay minería, no se generarán nuevos bloques y la cadena de bloques no aumentará, entonces Bitcoin no podrá comercializarse ni circular. Para garantizar que las personas continúen minando, se generen constantemente nuevos bloques y se garantice el crecimiento de la cadena de bloques, Bitcoin ha diseñado un mecanismo de recompensa. Quien pueda generar nuevos bloques dentro del tiempo especificado y ser reconocido por otros nodos será recompensado. Se otorga una cierta recompensa de bitcoin a quienes minan. En este momento, es hora de competir con la velocidad de cómputo de la computadora. Para garantizar que la producción de bloques tome una cierta cantidad de tiempo, Bitcoin ajustará constantemente la dificultad de la minería.

Analista: La tercera ballena de Bitcoin más grande no vendió todos los BTC, sino que los transfirió a una nueva billetera: el 21 de julio, el analista de Cryptoquant, Venturefounder, publicó en las redes sociales que la tercera ballena de Bitcoin más grande no vendió todos los BTC, sino que los transfirió a una nueva billetera. Según los datos de la cadena revelados por ella, al 21 de julio, el saldo en la billetera de la ballena era de 132.877,91 BTC, siendo la tercera ballena más grande. El saldo previamente reducido puede ser una billetera antigua de la ballena gigante. Se puede ver que casi todos los tiempos y montos de las transacciones coinciden con la nueva billetera, e incluso puede completarse a través de la barajada interna del servicio de alojamiento Coinbase/Gemini. Muestra que la ballena gigante ha estado comprando BTC en caídas desde 2019.

Anteriormente se informó que la dirección de la ballena gigante de bitcoin que comienza con 1P5ZE transfirió todos los saldos de BTC de su dirección nuevamente a las 11:39 el 21 de julio y transfirió un total de 132,800 BTC en 3 días. [2022/7/21 2:29:47]

Bajo tal mecanismo, podemos ver que el núcleo de la minería es el poder de cómputo.Usar caballos de Troya para controlar una gran cantidad de "broilers" para formar una red de bots y usar el poder de cómputo controlado de la computadora para minar es la forma más común de minar troyanos. caballos medios Los troyanos mineros generalmente monitorean el uso del dispositivo del usuario, lo inician silenciosamente durante el tiempo de inactividad y se ocultan durante el período de uso normal del usuario, por lo que es difícil encontrarlo. Algunos troyanos incluso monitorean el portapapeles, roban la clave de la dirección del usuario y la reemplazan silenciosamente con la dirección del pirata informático durante el proceso de transacción, causando enormes pérdidas de propiedad al usuario.

Square adquirirá el negocio de impuestos de Credit Karma: Jinse Finance informó que el gigante de pagos Square dijo que adquiriría el negocio de impuestos de Credit Karma por $ 50 millones y lo integraría en Cash App. Cash App es el centro principal para vender Bitcoin. Cash App ofrecerá el software de preparación de impuestos DIY de Credit Karma de forma gratuita a sus 30 millones de usuarios mensuales. [2020/11/26 22:08:51]

Después de comprender los principios generales de los troyanos mineros, echemos un vistazo a los tres troyanos más activos especialmente señalados por Tencent Security.

La red de bots MyKings es una gran red de bots que apareció alrededor de febrero de 2017. Escanea 1433 y otros puertos en Internet para infiltrarse en el host de la víctima y luego propagar DDoS, Proxy, RAT (troyano de control remoto), Miner (troyano de minería)) incluyendo una variedad de códigos maliciosos para diferentes propósitos. En mayo de 2018, la red de bots MyKings comenzó a difundir el nuevo troyano de minería NSISMiner, utilizando complementos y scripts de NSIS para implementar, actualizar y escribir elementos de inicio para el troyano de minería, y también tiene la capacidad de propagarse a través de LAN a través de SMB. voladura. En octubre de 2018, se agregó el módulo de secuestro de direcciones de billetera buff2.exe para detectar direcciones de billetera de 25 monedas cifradas digitales como Bitcoin, Monero y Ethereum en el contenido del portapapeles y sistemas de pago electrónico (WebMoney, YandexMoney, stream) relacionados número de tarjeta y reemplácelo con la dirección de la billetera y el número de tarjeta del pirata informático para robar ingresos. En marzo de 2019, la red de bots MyKings habilitó un nuevo nombre de dominio para propagar el troyano de minería NSISMiner y también habilitó un nuevo grupo de minería y una dirección de billetera.

WannaMine adopta un ataque "sin archivo" para formar una red de bots de minería y ejecuta código Powershell remoto durante el ataque, y no hay ningún archivo que aterrice en todo el proceso. Para ocultar su comportamiento malicioso, WannaMine también almacena shellcode a través de atributos de clase WMI y utiliza el arma de ataque de vulnerabilidad "Eternal Blue" y el componente de ataque "Mimikatz+WMIExec" para la penetración lateral.  Después de la invasión del virus minero, la sensación más intuitiva para los usuarios es que el rendimiento de la computadora ha disminuido significativamente, la generación de calor ha aumentado y el ruido de enfriamiento del ventilador ha aumentado. Los internautas experimentados abren el administrador de tareas de la computadora y descubren que el uso de la CPU y la GPU se eleva casi al 100 %. Debido a la evidente disminución en el rendimiento de la computadora, afectará seriamente el funcionamiento normal de la red de oficinas de la empresa.

DTLMiner es un caballo de Troya descubierto a finales de 2018. Ha sido actualizado varias veces en un corto periodo de tiempo. Ejecutará diferentes versiones de programas de minería de acuerdo a la cantidad de bits del sistema informático. Cuida especialmente los equipos con AMD. Tarjetas gráficas Radeon y sistemas operativos de 64 bits. Ejecutará dos programas de minería diferentes al mismo tiempo y robará información privada en la computadora de la víctima, incluida la hora de arranque, la fecha actual, la información de la tarjeta gráfica, el disco U y el disco de red, etc. ., exprimirá al máximo el ordenador de la víctima y traerá más beneficios al atacante, más intereses ilícitos. El módulo de minería descargará el controlador de la tarjeta gráfica y usará la tarjeta gráfica para minar, lo que aumentará considerablemente la velocidad de minería y hará que el uso de la CPU y la tarjeta gráfica de la máquina envenenada sea demasiado alto, la máquina se congela y la tarjeta gráfica se calienta. arriba, lo que afecta seriamente el trabajo normal de los usuarios.

El núcleo de los troyanos mineros sigue siendo obtener criptomonedas y, estimulado por el mercado alcista de este año, es probable que vuelva a estar activo.

Prevención de troyanos mineros

Conócete a ti mismo y conoce a tu enemigo, y nunca terminarás en cien batallas.Después de que tengamos una comprensión detallada de los troyanos mineros, hablemos de cómo prevenirlos. El Informe sobre troyanos mineros de 2019 de Tencent Security mencionó que los tres principales métodos de intrusión de los troyanos mineros en 2019 son los ataques de vulnerabilidad, la voladura de contraseñas débiles y el uso de botnets. Dado que la minería de caballos de Troya necesita obtener más recursos informáticos, es la primera opción para la minería de caballos de Troya para utilizar vulnerabilidades ubicuas y contraseñas débiles, o botnets que controlan una gran cantidad de máquinas para propagarse a gran escala.

Los usuarios con ciertos medios técnicos pueden ser capaces de ver las pistas de las pistas y eliminar a tiempo los programas sospechosos, como los troyanos mineros, entonces, ¿cómo debería la gente común prevenirlos y controlarlos?

En la actualidad, el software antivirus y el software de control y prevención de seguridad convencionales pueden capturar caballos de Troya mineros, pero algunos programas de caballos de Troya se actualizarán con frecuencia, lo que garantiza que nuestro propio software antivirus se actualice a la última versión de manera oportuna, actualizando y parchear los agujeros de seguridad es la base de la protección de seguridad.

Los usuarios de la LAN no deben usar contraseñas débiles para evitar que los virus se propaguen activamente en la LAN a través del craqueo de fuerza bruta de SMB. Al mismo tiempo, intente cerrar los puertos innecesarios, como: 445, 135, 139, etc., y configure listas blancas para los puertos 3389, 5900, etc., y solo permita que las conexiones IP en la lista blanca inicien sesión. Establezca los controles correspondientes en el acceso interno de los servidores/estaciones de trabajo que no necesitan estar conectados a Internet, para evitar nuevos ataques a otros servidores después de ser atacados por servidores que pueden conectarse a la red externa.  

Además, las copias de seguridad regulares fuera del lugar de archivos y datos importantes (bases de datos, etc.) también son importantes de manera oportuna. Evite encontrar peores programas de caballos de Troya que causen la pérdida de datos de archivos.

La perspectiva de las criptomonedas es prometedora, espero que la mayoría de los usuarios no bajen la vigilancia ante las buenas noticias, para que los delincuentes puedan aprovecharlas.

Tags：

XLM