【首例】新型“挖矿”病毒入侵，如何避免CPU被恶意利用？

一扫一堆问题

隔离失败，还有这样的？

web服务器竟然是windows OS，我也是服了。

感谢分享。

中招了啊啊啊啊啊啊啊啊啊！

近日，某公司EDR安全团队接到某企业反馈，称其内网大量服务器存在挖矿问题，且难以清理干净。经过某公司安全专家深入分析，发现这是一种新型的挖矿病毒，属全国首例，其病毒机制与常规挖矿相差很大。某公司 EDR 安全团队在持续追踪后发现了病毒入侵途径，某公司已将此病毒命名为wmixml挖矿病毒，同时制定了详细的应对措施。

病毒名称：wmixml

病毒性质：新型挖矿病毒

影响范围：已发现全国首例

危害等级：二级

查杀难度：极难

病毒简介

不同于常规挖矿病毒， wmixml 的挖矿功能体以密文文件的形式存在而不是常规的独立exe。感染主机上，会有一个加载病毒体dll，在被系统进程svchost.exe加载后，读取挖矿密文文件，在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中。由于解密动作发生在内存中，目前已绕过了大量杀毒引擎，达到了免杀的目的。

攻击场景

此次攻击，可谓有备而来，在绕开杀毒软件的思考上做足了功夫。

如上图，appmg.dll是加载病毒体（system32目录下），负责加载挖矿功能。wvms_dp.inf是挖矿密文数据，即其二进制是经过特殊加密处理的，不能直接被执行。由于密文文件不是pe格式等可执行文件，杀软自然扫描不出来。此外，为了保证免杀效果，又将解密后的挖矿病毒体注入到系统进程中执行。

攻击顺序如下：

• 首先，当appmg.dll第一次被加载的时候，会注册svchost服务，后续则通过系统进程svchost.exe实现开机自启动。

  
• 其次，appmg.dll被加载后，会读取wvms_dp.inf文件数据，进行解密。

  
  

  
  

  
  

  
  

  
  
  
  

3、然后，将解密后的wvms_dp.inf数据（即挖矿二进制模块）注入到新启动的svchost.exe进程里面。

4、最后，注入成功后的系统进程svchost.exe具备了挖矿功能，从wmixml.dat中读取挖矿配置信息，进行挖矿。

溯源分析

以上是病毒的运作原理。但病毒从哪里来？某公司EDR安全团队了解获知，该企业有不少于十台的服务器中招，但我们逆向的结果显示，此挖矿病毒并不具备横向传播能力，因此初步分析是内网某台服务器被渗透（黑客攻击成功后，再利用该服务器进行内网渗透）。

与预想的一致，该企业确实有一台对外的Web服务器，而其它的服务器都处在内网环境。安全团队从此台Web服务器入手，使用某公司EDR WebShell查杀工具进行扫描，发现了大量的网页木马。

此外，分析发现，还存在一个可以远程执行任意命令的木马，由此断定此Web服务器已完全沦陷（安全团队尝试从外网对该站点进行渗透，同样发现可攻击成功）。

被渗透成功后的Web服务器上，安全团队发现了与wmixml挖矿相关的病毒体。由于该Web服务器被完全控制，黑客甚至开了一个具备系统权限的新账号SystemD，由此在内网撕开一个口子，进行任意攻击。

危害与启示

wmixml挖矿病毒的危害是显而易见的，即长期压榨受害者主机性能，为黑客默默赚外快。此外本次安全团队发现wmixml挖矿病毒在隐蔽性方面做的非常高明。一般的挖矿，通常会尽可能多的压榨受害者CPU，使之长期达到80%以上的占用率。但这个作者，却严格限制并稳定在25%的CPU占用率。

在此限制下，由于占用率不是太高，一般用户难以察觉系统已出问题。

另外，黑客深知普通挖矿程序可以被杀毒软件查杀出来。为了避免被杀，黑客对挖矿程序进行了特殊加密，并将解密后的挖矿代码注入到系统进程中（如上图仅仅只在内存中，安全团队才能观察到挖矿字符特征）。通常来说，杀软不敢轻易对系统进程下手，病毒因此有了免死金牌！

解决方案：

• 隔离感染主机：已中毒计算机请尽快隔离，关闭所有网络连接，禁用网卡！
• 确认感染数量：推荐使用某公司防火墙或者安全感知进行全网检测，避免病毒持续潜伏！

  
  

  
  

  
  

  
  

  
  
  
  

注：截图来源于部署某公司防火墙的真实企业环境。

3、查杀病毒：推荐使用某公司僵尸网络查杀工具（http://edr.sangfor.com.cn），某公司僵尸网络查杀工具已第一时间支持查杀此病毒。另外，某公司推荐企业用户部署某公司终端检测响应平台（EDR）,对主机进行一键查杀并持续保护主机不再遭受攻击。

• 某公司僵尸网络查杀工具安装查杀步骤如下：

  
  

  
  
  
  

第一步，打开http://edr.sangfor.com.cn网站，找到“僵尸网络查杀软件”，点击“Windows下载”。

第二步，下载的文件名为SfabAntiBot.zip，解压后运行SfAntiBot.exe文件即可直接打开僵尸网络查杀软件。

第三步，点击快速扫描按钮，即可开始扫描。

第四步，扫描结果页面，如果出现文件名为appmg.dll，点击“隔离”按钮即可。

• 某公司终端检测响应平台（EDR）查杀步骤如下：

  
  

  
  
  
  

第一步，打开终端响应平台，选择“威胁检测”，点击“新建任务”。

第二步，选择查杀主机范围，可以选定全部或者部分主机进行查杀。

第三步，扫描结果显示病毒名为 Trojan.Win32.Miner.wmixml，在操作那里点击隔离即可。

4、修补漏洞：如果内网使用了JBoss，请确认好版本并修补相关漏洞。

5、修改密码：如果主机账号密码比较弱，建议重置高强度的密码。