Powershell 无文件挖矿病毒处置

Powershell 无文件挖矿病毒处置

      前段同事抱怨服务器访问的很慢，一开始我不在意，直到自己有一天去下个东西，发现卡的不行，赶紧查了下。

      服务器有装是EDR的，先上平台看了下终端情况。

       哦豁，CPU和内存爆了，直接远程到服务器上面去看。

      CPU 100% ,内存100%,看来有挖矿。

  

      上processhacker，发现有多个powershell进程在跑。占满了CPU资源

       查看网络连接，定位到挖矿的地址

         

       微步上面还没有标记成恶意地址，但是有相关的IOC信息。

       检查启动项，有一堆异常的powershell计划任务，上面都是挖矿相关的恶意代码

       dump了其中一个进程的信息，发现了通信地址的具体URL  

http://207.1**.225.82

       访问过去是ngnix

       直接访问是下载不了的，按照内存dump出来的恶意代码格式，构造URL成功下载到病毒文件，看样子应该是驱动人生。

       二进制文件，沙箱跑不出什么结果。

       第三次方杀软只有两家能检测出来

      powershell无文件挖矿，直接删除前面发现的计划任务处理，重启之后服务器恢复了正常

   

     按道理，装了EDR应该是可以防护powershell这类挖矿的，不应该中毒啊。后面发现了问题了：

     1. EDR平台没有锁定策略，导致EDR客户端和平台策略不一致。

      2. 服务器没打MS17-010补丁

   

      3. 内网还有SMB爆破，其实在内存dump出来的代码里面已经有密码字典了。

PS： 截止发帖的时候又有客户中了个这个病毒了，通信地址一模一样的，但是现在网站已经打不开了应该是换地址了,看来IOC不能靠IP还是得靠恶意域名。

楼主分析powershell挖矿病毒的思路很清晰，EDR已经有了完整的解决方案，建议大家以后遇到这种服务器异常的情况，首先将EDR的版本和规则库升级到最新，并且全盘查杀即可处理。同时建议在出口部署AF设备，以便做到端网联动，可以更加快速的定位异常主机，查杀病毒，恢复业务。感谢楼主的分享，期待楼主有更加精彩的内容。

感谢您的分享，满满的干货，已将文章放入技术博客中！

社区技术博客征稿活动正在进行，只要符合内容要求，就有奖励，欢迎投稿~
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum ... read&tid=103115

点赞，打赏，学习

佩服大牛的技术，学习了

学到等于赚到

你们都是大咖，会处理，我能只能依靠各个信服君设备和客服和技术大咖了。

学习了，有个小问题：删了计划任务它不会自动再生成吗？

感谢分享，大神就是不一般

专业的帖子高质量