大家好，今天给大家分析一个门罗币挖矿事件。近日通过本公司的监测引擎发现客户的网站被植入门罗币挖矿程序并对起进行分析，由于涉及客户隐私分析过程，只能引用测试ip来做分析。

今日通过监测平台发现IP127.0.0.1疑似遭到黑客攻陷，被植入coinminer门罗币挖矿可以程序、被植入BillGates后门。因该IP经过为一对多地址转换，实际感染主机数量无法探明，建议对转换为127.0.0.1的源主机进行全部排查。

（1）检测到IP 127.0.0.1被植入Coinminer挖矿恶意程序，连接矿池服务器。

攻击事件说明:CoinMiner是一款挖矿恶意程序，挖矿程序会占用CPU资源，可能导致受害主机变慢。 它会利用WMI(WindowsManagementInstrumentation)在感染的系统上运行命令，并且会使用永恒之蓝漏洞(MS17-010)进行传播。

图：127.0.0.1连接门罗币矿池

图：传输参数解码 

监测结果：经分析，127.0.0.1被植入挖矿病毒木马的主机经常与以下IP进行通讯，访问网站确认为Monero (XMR) 门罗币平台，127.0.0.1访问远端服务器传输参数中带有明显的登录特征，例如上图中，包含”login””pass:x”字段。

以下为平台探知127.0.0.1连接过的矿池服务器IP。

l  116.211.169.162

l  139.99.120.50

l  159.65.202.177

l  163.172.204.213

l  163.172.205.136

l  176.9.50.126

l  94.130.206.79

l  94.23.212.204

图：矿池服务器访问截图

整改建议：建议使用最新杀毒软件或专杀工具清除木马，并截断与恶意网站通讯连接。 

（2）检测到IP 127.0.0.1上报BillGates后门连接事件

事件简述：BillGates恶意程序是针对Linux服务器的一种相对老的恶意程序家族，它可以将感染的服务器连接起来创建一个僵尸网络。BillGates僵尸网络支持发动ICMP 洪水、TCP洪水、UDP洪水、SYN洪水、HTTP洪水和DNS反射洪水攻击。

监测结果：目前发现的攻击源有1个地址

142.0.138.117  →攻击目标  →127.0.0.1

 受影响系统

整改建议：建议使用最新杀毒软件或专杀工具清除木马，并截断与恶意网站通讯连接。

通过本公司监测引擎发现此问题，以上只是简单的分析思路希望大家多多关注。

分析思路过程：

发现恶意地址+分析恶意地址+恶意IP、域名、信息收集+信息验证、客户数据提取=简单事件分析。