《2018年云上挖矿态势分析报告》发布，非Web类应用安全风险需重点关注( 六 )_近日

如下为Bulehero木马执行添加周期任务的schtask命令:

cmd /c schtasks /create /sc minute /mo 1 /tn "Miscfost" /ru system /tr "cmd /c C:\\Windows\\ime\\scvsots.exe"

cmd /c schtasks /create /sc minute /mo 1 /tn "Netframework" /ru system /tr "cmd /c echo Y|cacls C:\\Windows\\scvsots.exe /p everyone:F"

【挖矿团伙会通过伪装进程、加壳、代码混淆、私搭矿池或代理等手段规避安全分析和溯源】

Bulehero挖矿网络使用的病毒下载器进程名为scvsots.exe ，与windows正常程序的名字svchost.exe极其相似；其它僵尸网络使用的恶意程序名，像taskhsot.exe、taskmgr.exe、java这类形似正常程序的名称也是屡见不鲜。

在分析挖矿僵尸网络的过程中我们发现，大多数后门二进制程序都被加壳，最经常被使用的是Windows下的UPX、VMP、sfxrar等，如下图，几乎每个RDPMiner使用的恶意程序都加了上述三种壳之一。

《2018年云上挖矿态势分析报告》发布，非Web类应用安全风险需重点关注( 六 )