应急处置-挖矿

应急处置-挖矿一、概述二、 案例三、样本分析报告挖矿病毒分析研判行为检测多引擎检测动态分析网络行为核心分析核心功能关键字符串导入函数启动流程挖矿机制总结处置建议四、相关工具一、概述通过漏洞入侵主机后运行挖矿程序利用主机的硬件资源挖矿获利主要看CPU、GPU利用率、网络连接情况处置流程其余场景webshell河马、D盾、其他查杀工具黑连js劫持、服务端代码劫持、nginx反向劫持、重定向、ISS模块劫持、根据对应类型进行排查源码比对、配置文件、DLL文件排查CC通信根据通信地址匹配威胁情报确定具体类型进系排查Bluehero蠕虫挖矿二、 案例涉事单位xxxx信息科技学院流量监测设备告警捕获大量异常外联流量↓定位告警源头主机锁定机房目标服务器↓登录入侵主机排查系统资源↓使用 netstat 匹配外联 IP 与对应进程 PID↓明确恶意外联 IP 恶意进程 PID↓根据 PID 查找恶意程序命令tasklist | findstr PID值↓3 种方式定位恶意进程文件路径APowerShell 通用执行 (Get-Process -Id PID).Path 直接读取程序路径BWin7 老旧系统 CMD执行 wmic process where ProcessIdPID get ExecutablePathC图形化任务管理器CtrlShiftEsc 打开任务管理器 → 筛选对应 PID 进程 → 右键打开文件所在位置↓提取恶意样本开展深度病毒 / 威胁分析溯源分析一、事件背景置服务器被发现存在挖矿程序CPU 资源被异常占用。二、溯源分析1.资产风险服务器系统老旧为 2018 年停用的校园网收费系统遗留资产长期无人维护、未纳入资产管控2.核心漏洞SQL Server 数据库 sa 账号存在弱口令123456且 1433 端口暴露于公网3.攻击痕迹挖矿程序植入时间显示为 2009 年与系统停用时间矛盾判定为攻击者篡改时间抹除攻击痕迹4.攻击链路攻击者通过公网端口扫描发现暴露的 SQL Server 服务→利用 sa 弱口令暴力破解获取管理员权限→植入挖矿程序并篡改时间实现长期驻留。最后确定是攻击者是通过公网漏洞进入内网、发现此服务器SQL server弱口令后实施攻击加固方案恶意程序清除与隔离断开服务器公网连接仅保留内网运维权限防止攻击持续与横向扩散终止挖矿相关进程删除恶意程序文件、开机自启项、计划任务全面排查服务器后门、远控木马清除所有异常账号与权限备份服务器日志、数据库日志留存攻击溯源证据数据库紧急加固立即重置 SQL Server 所有账号密码强制 sa 账号使用 16 位以上复杂强密码大小写字母 数字 特殊字符禁用 sa 账号远程登录权限仅允许内网指定 IP 访问删除数据库中异常存储过程、扩展存储过程关闭 xp_cmdshell 等高危功能审计数据库所有账号权限回收非必要的高权限系统基础加固重置服务器所有管理员账号密码删除冗余、闲置账号关闭服务器所有非必要端口仅开放业务必需端口如无业务需求全端口关闭清理系统中异常开机自启项、服务、计划任务业务与资产加固对已停用的校园网收费系统立即下线服务器销毁数据后报废或回收若需保留服务器彻底卸载原业务系统、数据库重装系统后再投入使用全面梳理单位所有服务器资产建立资产台账明确责任人与维护周期现场照片通过搜索引擎再次确认样本参考连接https://www.freebuf.com/articles/network/399117.html三、样本分析报告对提取的恶意样本进行动静态分析挖矿病毒dllhostex.exe分析研判样本描述WannaMine v4.0挖矿病毒 使用 dllhostex.exe 作为XMRig挖矿模块通过SMB漏洞横向传播消耗系统资源进行门罗币XMR挖矿常通过漏洞如EternalBlue传播进行远程控制设备、窃取数据、投放其他恶意软件。详细分析如下样本名称样本类型样本hash样本大小dllhostex.exe挖矿病毒f009dfd79ef013ecb959a5811f15fd441907712 字节通过沙箱检测均出现报毒情况确认该样本为挖矿木马病毒样本行为检测该样本为典型挖矿类恶意软件在分析环境中表现出多层反检测与抗逆向行为通过感知时区、检查网络适配器地址躲避虚拟分析环境同时拖慢任务进度干扰逆向分析其静态字符串中存在矿池地址相关特征且疑似创建 shellcode 以支撑后续恶意代码执行。注入合法进程 svchost.exe 隐藏自身并注册随机命名的服务实现开机自启。创建隐藏目录 C:\Windows\NetworkDistribution 存储攻击工具如永恒之蓝漏洞利用程序。多引擎检测该样本在主流安全引擎中被广泛识别为挖矿类恶意软件包括微软、卡巴斯基、ESET 等多家引擎均检出为 CoinMiner、Miner 或 CryptoMiner 相关木马 / 潜在恶意程序部分引擎标记为灰色软件GrayWare或特洛伊木马仅百度、NANO、瑞星等少数引擎未检出整体确认其为典型的挖矿木马样本。动态分析通过动态分析程序成功运行后会外联恶意域名hot.tenchier.com该域名指向多个境外IP地址Win10运行流程Win7运行流程hot.tenchier.com所对应的威胁情报境外IP46.101.26.221位于英国-英格兰-伦敦在 Windows 7与 Windows 10环境中检测到门罗币挖矿样本通过 TCP 协议向外发起连接目标地址为159.89.117.134:443与46.101.26.221:443执行挖矿登录及 jsonrpc 挖矿登录操作流量均为出站方向。网络行为病毒程序通过解析恶意域名hot.tenchie.com经 CNAME 指向tech.tositive.com最终解析到 IP 地址46.101.26.221等与位于英国伦敦 DigitalOcean 机房的服务器46.101.26.221:443建立了多次 TCP 连接产生了加密流量交互。该域名被判定为恶意关联WannaMine、CoinMiner 挖矿木马及私有矿池、远控等恶意行为属于典型的挖矿木马外联矿池的网络通信特征。核心分析核心功能命令行参数处理支持多种命令行参数如 --config、–daemon、–background 等配置管理支持从配置文件读取挖矿参数矿池连接支持连接到挖矿池进行挖矿硬件检测使用hwloc库检测系统硬件拓扑多线程挖矿支持多线程并行挖矿API服务提供HTTP API接口用于监控和控制关键字符串挖矿相关pools、login、worker-id、rig-id、submit、job_id、nonce、result配置相关config、daemon、autosave、watch、background网络相关http-enabled、http-host、http-port、http-access-token硬件相关cpu-affinity、cpu-priority、max-cpu-usage、cpu-max-threads-hint版本信息0.0.0、libuv/1.31.0、hwloc/2.0.4导入函数网络相关WSARecvFrom、WSASend、WSASocketW、connect、bind、listen系统相关CreateThread、SetThreadPriority、SetPriorityClass、Sleep文件操作CreateFileW、ReadFile、WriteFile、FindFirstFileW内存操作VirtualAlloc、VirtualFree、HeapAlloc、HeapFree硬件检测GetLogicalProcessorInformation、GetAdaptersAddresses启动流程程序启动时调用 FreeConsole() 隐藏控制台窗口创建互斥体 {B8A7AE22-7F59-CDE5-71F9C2A} 和 {FA4C20F1-97FC-ED6B-0B488E9} 防止多实例运行处理命令行参数并初始化配置检测系统硬件拓扑并导出到 topology.xml 文件初始化挖矿核心并开始挖矿挖矿机制使用 xmrig::App 和 xmrig::Controller 类管理挖矿过程支持连接到多个矿池通过 pools 配置支持设置挖矿强度通过 max-cpu-usage 配置支持设置捐赠比例通过 donate-level 配置总结经过分析该程序是一个挖矿软件是一个开源的CPU/GPU挖矿工具主要用于挖掘门罗币Monero等加密货币。该样本为dllhostex.exe是一个大小 1.83MB 的 64 位 Windows 可执行文件在 28 款安全引擎中 16 款检出被明确归类为CoinMiner/WannaMine 挖矿木马家族的恶意软件。它具备完整的挖矿恶意行为链条静态字符串中存在矿池地址相关特征疑似创建 shellcode同时通过感知时区、检查网络适配器、拖慢任务进度等手段实现反检测与反逆向在网络层面通过解析恶意域名hot.tenchie.com外联至46.101.26.221:443、159.89.117.134:443等矿池地址执行门罗币挖矿登录及 jsonrpc 操作属于典型的门罗币挖矿木马核心目的为在受感染主机上秘密挖矿以获取虚拟货币收益。处置建议1、终止进程检查任务管理器结束 dllhostex.exe 及其父进程 svchost.exe需验证服务组名。2、清除持久化删除注册表中的恶意服务项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services随机服务名。3、删除恶意文件定位并删除以下项目C:\Windows\System32\dllhostex.exeC:\Windows\NetworkDistribution\整个目录C:\Windows\System32随机名.dll4、全盘扫描使用专业安全工具如Malwarebytes、CrowdStrike Falcon进行深度扫描清除残留威胁。5、修复漏洞更新系统补丁关闭不必要的SMB端口防止漏洞利用。四、相关工具第三方威胁情报查询平台微步https://x.threatbook.com/奇安信https://ti.qianxin.com/深信服http://ti.sangfor.com.cn/analysis-platformvirustotal: https://www.virustotal.com/gui/home/upload本地工具D-Eyes 绿盟科技应急响应工具木马病毒扫描下载地址https://github.com/m-sec-org/d-eyes_1.1.0.zip使用方法https://www.ddosi.org/d-eyes/火绒剑电脑安全情况的工具支持查看进程、启动项、内核、钩子等信息https://bbs.kanxue.com/thread-281253-1.htmPCHunter进程查看下载地址https://raw.gitcode.com/UniversalTool/7802d/blobs/a1bcd8fa487fa409bc3b9010fdc48afc00690d73/PCHunter_1.6.7zAutoruns自启动项查看下载地址https://learn.microsoft.com/zh-cn/sysinternals/downloads/autorunsProcess hacker高级进程分析工具系统进程监控与管理工具下载地址https://pan.quark.cn/s/5a2bccf45fb5#/list/shareSfAntiBot查杀、检索下载地址https://wlaqztw.hbust.edu.cn/system/_content/download.jspurltypenews.DownloadAttachUrlowner1513076756wbfileid2048704