网络流量威胁-xmrig协议PCAP分析

1、xmrig木马

挖矿木马成为黑产团伙的主要获利方式之一，也成为了企业内部安全的主要威胁之一。门罗币很多僵尸网络也把挖矿作为主要的获利手段。本文分析挖矿连接的行为。

2、具体样本

样本6dcbd7ff8aeeb8e9fff861cbea912c2d具有连接xmrig矿池通信行为，xmrig协议通信；

3、PCAP分析

相关实验的 xmrig通信PCAP

DNS  Standard query   A xmr.pool.minergate.com

xmrig协议格式【1】

request：

{"id":x,"jsonrpc":"2.0","method":"login","params":{"login":"xxxxxx","pass":"x","agent":"xxxxx","algo":["xxx","xxx","xxx"]}}

{"id":x,"jsonrpc":"2.0","method":"submit","params":{"id":"xxxx","job_id":"xx","nonce":"xxxx","result":"xxxxxxx"}}

response：

{"params":{"blob":"xxxxxx","taget":"xxxx","job_id":"xxxxx"},"method":"xxx"} 

本次抓包具体例子：

{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"xxx","pass":"x","agent":"Static XMRig/2.13.1 (Linux x86_64) libuv/1.24.1 gcc/6.4.0","algo":["cn","cn/r","cn/wow","cn/2","cn/1","cn/0","cn/half","cn/xtl","cn/msr","cn/xao","cn/rto","cn/gpu"]}}

矿池距离较远，中间加一个代理，提高网络的连通性。比如minexmr这个矿池，最近的是新加坡节点，并且网络环境不是很好，我们可以搞个HK的代理。

2、当某一个IP地址有很多矿工连矿池，提交share太频繁，会被矿池认为是DDoS攻击，会被矿池封掉IP，此时可以搞一个代理，对矿池来说，看上去只有一个矿工了。

3、矿机较多，可以通过xmrig-proxy进行集中管理，只需要修改proxy的相关设置就可以进行不同币种矿池间的切换

---