Powershell 挖矿病毒处理与防范

Stella981
• 阅读 897

Powershell 挖矿病毒处理与防范

最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。

Powershell的挖矿病毒具备无文件攻击的高级威胁外,还具有两种横向传染机制,分别为WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击,极易在企业网的局域网内迅速传播。

在过去的一年里,至少处理了8起有关Powershell挖矿病毒。今天我们就来谈一谈该病毒的处理方式和防范措施。

Powershell 挖矿病毒处理与防范

某一天,当你检查服务器,发现很多服务器的CPU使用率特别高,且使用进程为Powershell.exe时,那么基本可以判定,您的服务器中了Powershell挖矿病毒了。

不过根据已经中过Powershell挖矿病毒企业观察到的情况,Powershell挖矿病毒除了耗尽服务器的CPU以外,也没有什么其他破坏性的行为。

中Powershell挖矿病毒后的现象

当服务器感染了Powershell挖矿病毒后,通过交互式登录操作系统,利用ProcessExplorer.exe进程查看器进程,会发现Powershell.exe进程的CPU使用率非常高。

Powershell 挖矿病毒处理与防范

通过wbemtest打开WMI测试器,连接到:root\Default时会发现Powershell挖矿病毒已经帮您新建了一个攻击类

之前的名称叫:Win32_Services,后面有一些变种病毒创建的攻击类更改了名称为:**System_Anti_Virus_Core,**但是内容还是一样的类型。

双击攻击类后会发现,经过Base 64加密的攻击代码;

Powershell 挖矿病毒处理与防范

Powershell 挖矿病毒处理与防范

Base 64解码器

http://www.heminjie.com/tool/base64.php

Powershell 挖矿病毒处理与防范

Powershell.exe挖矿病毒还会在本地安全策略中创建一条阻止连接本服务器445号端口的IPSec策略。

处理Powershell挖矿病毒

目前已经有一些防病毒厂商对Powershell挖矿病毒进行查杀,建议通过防病毒进行系统性的查杀,如果还没有防病毒的企业,或者您企业中的防病毒目前还无法查杀类似这种挖矿病毒的时候,也可以通过手动方式进行清理。详细步骤如下:

1.结束Powershell.exe进程

由于服务器中了挖矿病毒后,整理反应会特别的慢,所以建议通过taskkill命令暂时将服务器上的Powershell.exe结束后再行处理(结束Powershell.exe进程后,Powershell.exe进程会在1-2个小时内自行启动)。

Powershell 挖矿病毒处理与防范

 2.删除攻击类

通过wbemtest打开WMI检查器

Powershell 挖矿病毒处理与防范

连接到默认的命名空间

Powershell 挖矿病毒处理与防范

Powershell 挖矿病毒处理与防范

中了挖矿病毒的机器会多出个如下截图的类

Powershell 挖矿病毒处理与防范

或者类似这种类

Powershell 挖矿病毒处理与防范

3.删除本地安全策略netbc的IPSec策略

打开本地安全策略,然后定位到安全设置à应用程序控制策略àIP安全策略(默认是空的

Powershell 挖矿病毒处理与防范

根据之前的处理结果,对服务器进行如下几步操作后,Powershell挖矿病毒基本没有再复发。

安全建议 

1.系统层面

服务器端:

  • 建立服务器投产标准化规范,安全基线(如:服务器上线之前,安全策略如何设置、补丁要求、防病毒、运维管理要求如何配置等)

  • 定义服务器运维规范,安全要求,以及安全检查机制

  • 建立服务器配置管理机制,首先针对操作系统进行配置管理

客户端:

  • 建立客户端系统准入机制,如没有进行补丁更新、没有安装防病毒的客户端无法访问服务器区网络

  • 定义客户端补丁更新策略、防病毒更新策略等安全要求

  • 建立客户端统一的桌管平台,让客户端的机器能够统一的进行管理

2. 运维层面

  • 加强服务器监控预警机制

  • 加强用户安全意识教育

  • 建立统一日志管理平台,可收集、存储、分析服务器系统及网络设备的相关日志;

  • 建立服务器统一运维管理平台,能够快速批量的管理服务器;

作者:王吉


推荐优质文章

1.嘉为蓝鲸CMP:跳出云管看云管

2.AD域整合的注意事项

3.【干货】DevOps的演进与落地价值

4.运维大数据平台落地构想

5.浅谈企业如何建设云管理平台(CMP)

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
4个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
Linux应急响应(三):挖矿病毒
0x00前言随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、WeblogicWLS组件漏洞、Jboss
Wesley13 Wesley13
3年前
FLV文件格式
1.        FLV文件对齐方式FLV文件以大端对齐方式存放多字节整型。如存放数字无符号16位的数字300(0x012C),那么在FLV文件中存放的顺序是:|0x01|0x2C|。如果是无符号32位数字300(0x0000012C),那么在FLV文件中的存放顺序是:|0x00|0x00|0x00|0x01|0x2C。2.  
Wesley13 Wesley13
3年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Stella981 Stella981
3年前
Django中Admin中的一些参数配置
设置在列表中显示的字段,id为django模型默认的主键list_display('id','name','sex','profession','email','qq','phone','status','create_time')设置在列表可编辑字段list_editable
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
10个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这