020年6月，警方破获一起大规模网吧非法植马案件，该案件主要为通过上机植马的方式，向多家网吧服务器植入“STUpdater.exe”木马，并对网吧服务器及主机进行远程控制，从而盗取大量游戏账号；在进一步确认后发现，广州、合肥、成都等多地网吧也接连出现类似情形，对网络安全造成巨大危害，严重扰乱了社会秩序。

360安全大脑在接到警方协助侦查需求后，结合安全大数据分析研判，成功掌握了该攻击木马的入侵原理、最终目的以及控制服务器地址等重要信息，并通过追踪溯源，最终发现散布木马的作案元凶。

目前，在多地警方的统一部署与通力配合下，作案人员已被绳之以法，关于案件的后续侦办正在有序推进中。

犯罪团伙周转多地散布病毒

汉中、咸阳、西安等网吧频现木马危机

警方在接到报案后，前往多家事发网吧对服务器进行勘验；在调取近期监控视频和上机记录的过程中，发现木马植入几分钟前，存在可疑人员使用虚假身份证开机操作，并在几分钟后结账下机。

根据该虚拟身份进行轨迹核查得知，犯罪嫌疑人5月23日由四川简阳出发，乘坐动车、飞机途经汉中、咸阳、西安等地，并在沿途网吧皆完成植马操作。

360安全大脑在整合警方提供信息后发现，不法分子主要通过线上招募的方式，安排大量人员前往不同地区的网吧门店，使用客户机来攻击网吧服务器，且通常只上机5分钟左右就离开，行踪十分隐蔽。

同时，为了拓展犯罪行径，作案人员在进行线上招募时，主要通过在社交软件上发布一些诱人的“小广告”，来吸引一些想赚外快的代理人员，帮助他们完成网吧攻击木马的投放。

因此，存在多个作案帮手同样按照一定路线到沿途网吧，使用远程控制软件进行植马，广州、合肥、成都等多地网吧皆沦为攻击目标。

360安全大脑在进一步的分析研判后发现，作案团伙如此大动干戈的种植木马，并非企图利用网吧电脑进行非法挖矿，而仅是为了盗取网吧玩家的游戏账户。目前，警方已抓获作案团伙管理人员，并发现涉案人员20余人，在多省市网吧非法植马。

吸睛福利诱导用户下载使用

“网游加速器”成盗号木马藏身之所

在对该木马攻击进行追踪溯源后，根据已成功掌握的入侵原理、最终目的以及控制服务器地址等重要信息，360安全大脑分析出了该作案团伙的整体运行流程。其中，作案团伙利用多样的攻击方法，对“易乐游”、“网维大师”和“云更新”3种主流网吧管理平台实施入侵，从而完成了大规模的网吧植马。

通过360安全大脑关联“STUpdater.exe”木马相关的攻击链，快速定位到了网吧攻击木马的传播载体是一款经过修改的“熊猫加速器”。有意思的是，该软件安装完成后，会通过“网吧安装激活送奖励”等福利提示，将自己包装成看似正常推广的“合法”软件，来吸引用户使用。

而实际上，安装目录里会添加一个捆绑的木马模块“wke.dll”，该模块利用DLL侧加载技术在熊猫加速器主程序启动时自动运行。运行后首先会检测网吧环境和资质，验证通过后就联网下载攻击网吧服务器的工具，联网时会附带传播载体的渠道号（内置于每个传播软件中，本例为“1986”）方便区分和控制。

攻击工具主要针对3种主流的网吧管理平台，分别是“易乐游”、“网维大师”和“云更新”。针对每种平台使用的攻击方法各有差异，且部分平台甚至存在多种攻击方法，但攻击原理其实都是利用平台的漏洞来向网吧服务器上传木马模块“AppRead.exe”。

比如针对“易乐游”平台包含2种攻击方法，其中一种是直接向该平台的特定服务端口发送构造数据后，实现了服务器木马的植入和启动。

“AppRead.exe”木马存在两种不同类型的版本，但本质上都是一个包含远控功能的后门。比如其中一版自制的简易后门使用内置C&C列表分别尝试远程连接进行上线，成功后则循环等待接收控制端指令。

另外一版除了包含Gh0st远控模块，还会下载一个驻留更新的程序“STUPdater.exe”，该程序使用计划任务在每天中午12点左右自动运行。

攻陷大量的网吧服务器后，作案团伙在6月7号左右开始下发一套盗取游戏账号的木马程序“Mount.exe”，该程序负责将核心盗号模块“zlib1.dll”植入到网吧客户端运行。

盗号模块“zlib1.dll”内嵌一个模块“PersonCard.dll”，PDB路径信息为“H:\股票信息\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb ”透露其是盗取QQ密码的木马。该模块通过检测窗口类名称来查找相关的进程，并注入盗号代码到对应的进程中执行，数据回传的C&C地址为“123.56.86.25”。

在协助抓捕作案人员的过程中，360安全大脑根据网吧服务器木马使用的C&C地址 “www.swjoy.org” 和“www.barserver.cn”查询whois域名注册信息，发现注册人出自同一可疑人员，注册时间与该案件发生时间段也比较吻合。

而后，360安全大脑结合安全大数据追踪溯源，最终关联锁定该木马病毒作者。

360安全大脑协助追捕作案元凶

切忌沉迷游戏踏上犯罪不归途

也许是过分沉迷游戏世界，该木马作者社交软件个人说明中收藏的github链接，表明其也在研究一些网络游戏的内核代码，但最终还是走向了偷盗游戏账号的违法犯罪之路。

不得不说，适量游戏可以有效缓解日常生活中的压力，但如果过度沉迷游戏，甚至因此而走向犯罪之路，显然得不偿失。针对此次入侵网吧服务器的病毒木马，360安全大脑已实施全面拦截和查杀，为避免这类攻击态势再度蔓延，建议广大用户做好以下防护措施：

1、及时前往weishi.360.cn，下载安装360安全卫士，强力拦截查杀各类病毒木马；

2、使用360软件管家下载软件，360软件管家收录万款正版软件，经过360安全大脑白名单检测，下载、安装、升级，更安全；

3、提高安全意识，为个人电子账户设置强密码和多重验证；

4、定期检测系统和软件中的安全漏洞，及时打上补丁。

0x05 附录IOC

文件哈希

5a3a410e139eed6652c9e71ea625de29 熊猫加速器.exe

e0c8a4c5149c91b9cc8afb84e0d5fcc8 wke.dll

a267d46932c1b39519142bb4cfad465a AppRead.exe

eebb08efff13dd2100fbc81513c6c671 STUPdater.exe

9a640d97be9f7af1ad7122ce3e43c74f Mount.exe

c25442259c70d23f501907b2174c6a35 zlib1.dll

2444596d72942cdbb9944c14050a2be2 PersonCard.dll

C&C

123.56.86.25

47.110.10.104

www.swjoy.org

www.barserver.cn

128.1.137.26.ipssh.net

0x06 参考链接

https://www.shykx.com/category/416.html

https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg

https://bbs.txwb.com/thread-2080252-1.html

前言

有些小伙伴0基础小伙伴担心，我没有编程工具怎么办？

这个不需要编程工具的，只需要找9张图片改改名称就行

步骤

(1) 新建一个文件夹

(2) 文件夹中新建img文件夹 以及一个txt文档

(3) 把我放在下面的代码粘贴到txt文档中

（4）没有txt后缀的这样设置一下（这里以win11为例，点击查看-->显示-->文件扩展名）

（5）把文本文档名称改为旋转木马.html

（6）把图片放在img文件夹里面，需要9张

（7）图片重命名为 1.jpg 2.jpg 3.jpg 以此规律命名（200 x 300 像素的图片）

（8）设置图片像素（用win自带照片软件打开-->点击... --> 重设大小-->自定义尺寸-->把宽度改成200、高度改成200-->保存）

代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
    <style>
        *{
            margin: 0;
            padding: 0;
        }
        .box{
            width: 200px;
            height: 300px;
            /* border: 1px solid black; */
            margin: 50px auto;
            position: relative;
            /* 设置3D 效果 */
            transform-style: preserve-3d;
            /* 添加3D视距  透视效果 */
            /* perspective: 300px; */
            transform: rotateX(-15deg);
            /* CSS animation动画属性 
                name 定义动画名称
                duration 定义动画执行时间   秒/单位
                timing-function 定义动画执行速度 linear 匀速
                delay 定义动画执行等待 秒/单位
                iteration-count 定义动画执行次数 默认为1  无限执行 infinite
                animation-play-state 动画运行状态控制 默认running运行  paused 暂停
            */
            /* animation: name duration timing-function delay iteration-count direction fill-mode; */
            animation: move 10s linear infinite;
        }
        /* 定义关键帧动画  执行我们定义的动画 */
        @keyframes move{
            0%{
                /* 在CSS3 变幻属性中  如果要给一个元素添加多个变幻属性
                    需要将所有的变幻属性都写在transform
                 */
                transform:rotateX(-15deg) rotateY(0deg);
            }
            100%{
                transform:rotateX(-15deg) rotateY(360deg);
            }
        }
        /* :hover 伪类选择器  设置用户鼠标移入时的效果 */
        .box:hover{
            /* 当用户鼠标移入时 动画由默认的运行状态变成暂停 */
            animation-play-state: paused;
        }
        .box div{
            position: absolute;
            left: 0;
            top: 0;
            width: 200px;
            height: 300px;
            margin-top: 50px;
        }
        /* :nth-child(1) */
        .box div:nth-child(1){
            /* 改变页面第一张图片 变幻属性
            transform  变幻属性
            rotate  旋转
            translate 位移
             */
            transform: rotateY(40deg) translateZ(275px);
        }
        .box div:nth-child(2){
            transform: rotateY(80deg) translateZ(275px);
        }
        .box div:nth-child(3){
            transform: rotateY(120deg) translateZ(275px);
        }
        .box div:nth-child(4){
            transform: rotateY(160deg) translateZ(275px);
        }
        .box div:nth-child(5){
            transform: rotateY(200deg) translateZ(275px);
        }
        .box div:nth-child(6){
            transform: rotateY(240deg) translateZ(275px);
        }
        .box div:nth-child(7){
            transform: rotateY(280deg) translateZ(275px);
        }
        .box div:nth-child(8){
            transform: rotateY(320deg) translateZ(275px);
        }
        .box div:nth-child(9){
            transform: rotateY(360deg) translateZ(275px);
        }
    </style>
</head>
<body>
    <div class="box">
        <div>
            <img src="./img/1.jpg" alt="">
        </div>
        <div>
            <img src="./img/2.jpg" alt="">
        </div>
        <div>
            <img src="./img/3.jpg" alt="">
        </div>
        <div>
            <img src="./img/4.jpg" alt="">
        </div>
        <div>
            <img src="./img/5.jpg" alt="">
        </div>
        <div>
            <img src="./img/6.jpg" alt="">
        </div>
        <div>
            <img src="./img/7.jpg" alt="">
        </div>
        <div>
            <img src="./img/8.jpg" alt="">
        </div>
        <div>
            <img src="./img/9.jpg" alt="">
        </div>
    </div>
</body>
</html>

上一篇：ABB机器人Sockets通讯

期讲解嘉宾

近年来，加密货币作为新兴产业，发展速度令人瞩目。挖矿木马是黑客进行网络交易并获取加密货币的主要手段之一，为了应对挖矿木马的威胁，基于人工智能的挖矿木马检测成为一种有效的解决方案。在本文中，我们将介绍几种不同类型的检测引擎如何通过EDR应对当下更加复杂的挖矿木马攻击，包括基于加密通信的挖矿行为，采用进程注入等更加隐蔽和高级的无文件攻击技术来规避检测等。

挖矿木马攻击态势

挖矿木马的定义和类型

近年来，加密货币种类已超过一万种，总市值更是超过万亿。加密货币的去中心化、无需监管以及交易的匿名性等特性，使其成为黑客进行网络交易并获取利润的主要手段之一。

加密货币的获取依赖于高性能计算机按照特定算法进行计算，这个过程被称为“挖矿”。由于挖矿需要大量的计算能力，即大量的计算机资源，而维持这种计算能力则需要大量的资金投入。因此，一些黑客便想到了利用“木马”控制他人的计算机，建立所谓的僵尸网络，以此来帮助自己挖矿，这种行为就产生了所谓的“挖矿木马”。当个人或企业的计算机被植入挖矿恶意软件后，不仅会导致系统卡顿，还会影响设备的性能和寿命，严重威胁正常业务运行并造成能源浪费。

挖矿木马主要分为三类：

可执行文件型挖矿木马：

这种木马通常以恶意程序的形式存储在受感染的机器上，通过设置计划任务或修改注册表项等方式实现持久化，长期进行加密货币的挖矿操作。

基于浏览器的挖矿木马：

这种木马使用JavaScript或类似技术在浏览器中执行。只要用户打开了被植入挖矿木马的网站，该木马就会在浏览器中执行挖矿操作，持续消耗计算资源。

无文件挖矿木马：

这种木马利用合法工具如PowerShell等在机器的内存中执行挖矿操作，具有不落地、难以检测等特点，更加隐蔽和难以清除。

2022年挖矿木马攻击态势

2022年，华为安全态势感知系统捕获到数千万个挖矿木马。企业、政府和教育行业成为这类木马入侵的重灾区。而且，挖矿攻击的数量仍在持续增加。根据华为乾坤安全云服务运营团队及现网公开报告，挖矿攻击技术呈现以下变化：

01

隐蔽性提高：挖矿攻击组织越来越注重隐蔽性，经常采用各种技术手段来隐藏自己的存在。被攻击者往往需要数十天甚至数月才发现木马的存在，例如Nitrokod挖矿木马家族创建的计划任务周期达到15天。

02

攻击目标扩大：挖矿攻击的目标不仅限于个人电脑，还包括企业服务器、云计算平台等。同时，绝大部分挖矿家族已经支持Windows和Linux双系统挖矿，并具备横向移动特性，例如Kthmimu、Hezb、HolesWarm等家族。

03

对抗技术提高：随着对挖矿攻击的认识和对抗技术的不断提高，挖矿攻击者也在不断改进自己的攻击技术。他们采取了一些措施，如创建守护进程、使用无文件攻击等。一些挖矿家族包括LemonDuck、TeamTNT、Tofsee等也在不断演进和改进。

这些变化表明挖矿攻击者越来越注重隐蔽性和攻击目标的扩大，并且为了适应对抗技术而不断提升攻击技术。

挖矿木马攻击链分析

一般来说，挖矿恶意软件攻击链条分成四个关键步骤：攻击入侵、挖矿准备、安装运行以及隐藏自身行为。终端作为攻击发生的真实载体，是挖矿防御的最主要战场。

• 入侵：攻击者通过漏洞利用、社会工程学攻击或其他方式入侵目标系统，许多已知挖矿家族均集成了众多漏洞利用模块。

• 准备：攻击者首先探测系统信息，若满足条件则开始构建挖矿运行环境，包括抢占系统资源，关闭网络防护等。

• 运行：攻击者通过C2（Command and Control，命令与控制）通道下载或者直接释放挖矿载荷，开始在目标系统上挖掘加密货币。

• 隐藏：攻击者通常会采取措施来隐藏挖矿活动，例如使用加密通信、进程注入来隐藏挖矿软件的进程等。

基于上述攻击特点，华为终端检测与响应EDR产品推出了三大检测引擎，从多角度监控系统发生的可疑行为，同时支持一键深度处置，彻底修复感染挖矿木马的系统。

基于AI的挖矿木马检测引擎

NDR检测引擎：融合机器学习检测加密挖矿

挖矿活动的最本质特点在于网络连通，受害主机需要与矿池持续通信以确保挖矿活动的正常运行。华为乾坤云服务威胁信息库涵盖现网中数万个活跃矿池域名和IP，华为流量探针识别stratum挖矿协议，可以确保矿池的外部连接在网关或终端侧被阻断。

针对经过TLS加密的挖矿行为，利用机器学习进行流量分析是一种有效的检测方法。通过分析网络流量数据，机器学习模型可以学习和识别与加密挖矿相关的特征和模式。这些特征包括通信报文大小和时序特征、特定的网络通信模式以及与已知挖矿活动相关的数据包。通过训练机器学习模型，我们可以建立一个智能的检测系统，能够自动识别和报告潜在的加密挖矿行为。结合EDR调查取证可以帮助企业和组织及时发现并应对加密挖矿威胁，保护其计算资源和网络安全。

EDR行为检测引擎：基于内存威胁溯源图识别挖矿攻击链

对于落入端侧的挖矿木马攻击，华为终端检测与响应EDR行为检测引擎基于内存威胁溯源图，在文件、进程、网络、注册表和CPU占有率等多个关键维度上实时监控系统资源，一旦发现威胁立即处置。同时，内存威胁溯源图集成了自适应基线模型、时序关联模型、因果关联模型等，在入侵、执行、持久化和横移等多个攻击阶段均能及时响应，达到链式防御的效果。

图1-3示意了利用内存威胁溯源图还原WebLogic漏洞投递无文件挖矿木马的攻击链过程。

众所周知，单纯通过判断CPU占有率高可能会导致挖矿木马事件误报或漏报的情况发生，因为计算密集型任务也会导致CPU占有率飙升。因此，在检测挖矿木马时，我们需要结合攻击的上下文信息进行综合分析，结合内存威胁溯源图，将典型的挖矿木马攻击上下文进行关联：

01

在挖矿启动前，攻击者经常做一些可疑的准备工作，例如探测CPU/GPU信息、修改安全设置、抢占系统资源、配置网络策略并创建计划任务达到长期劫持计算资源的目的等。

02

在挖矿启动时，攻击者往往需要指定挖矿参数，例如钱包地址、币种、HASH算法等。

03

在挖矿执行时，华为终端检测与响应EDR产品会提示CPU占用异常，结合其他可疑事件综合研判为挖矿入侵。

结合内存威胁溯源图，华为终端检测与响应EDR产品可阻断99%以上的挖矿启动行为，同时可以看到完整的攻击链，一个典型的挖矿木马样本威胁图如图1-4所示。

高级威胁检测引擎：识别文件属性篡改、进程注入等防御逃逸行为

为了对抗挖矿检测和处置，攻击者会采用多种高级攻击技术来保持木马在系统中的存在。其中包括滥用系统敏感API来篡改文件属性或进程属性，以避免被删除或隔离。另外，攻击者还可能采用进程注入的方式来躲避检测。为了应对这些威胁，华为终端检测与响应EDR产品实现了在API级别监控系统的可疑行为，并直接阻断恶意行为的执行，以防患于未然。通过这种方式，可以有效地提高系统的安全性，防止挖矿等恶意行为的发生。

挖矿木马的一键深度处置

在检测到挖矿威胁后，对于检测的到的可疑点，华为终端检测与响应EDR产品已支持5大类事件的精准处置，实现检测到处置的有效闭环。

具体的处置对象及方法如下：

• 进程：可以通过终止挖矿进程来进行处置。

• 文件：可以将挖矿木马文件进行隔离，以防止其对系统造成进一步的威胁。

• 网络：可以联合防火墙来阻断与挖矿相关的通信IP地址，从而切断其与外部的连接。

• 计划任务：可以清理由挖矿木马创建的计划任务，以防止其在系统中持续执行。

• 服务：可以清理由挖矿木马创建的服务，以确保其不再对系统产生影响。

总之，通过自动化的处置过程可以帮助快速有效地清除挖矿木马，减少对系统和网络的影响。

结束语

为了应对挖矿木马的威胁，基于人工智能的挖矿木马检测成为一种有效的解决方案，本文介绍了几种不同类型的检测引擎。NDR检测引擎利用机器学习技术来检测加密挖矿行为，可以帮助及时发现潜在的挖矿活动；EDR行为检测引擎则基于内存威胁溯源图来识别挖矿攻击链，提供更加全面的检测能力；高级威胁检测引擎则专注于识别文件属性篡改、进程注入等防御逃逸行为，以应对更加复杂的挖矿木马攻击。同时，自动化的处置过程可以帮助客户快速有效地清除挖矿木马。华为将持续跟踪挖矿木马的最新攻击态势，不断提升检测能力，为客户构筑更强的防御屏障。