×

Powershell 无文件挖矿病毒处置
  

TravelNight 89831人觉得有帮助

{{ttag.title}}
Powershell 无文件挖矿病毒处置



      前段同事抱怨服务器访问的很慢,一开始我不在意,直到自己有一天去下个东西,发现卡的不行,赶紧查了下。

      服务器有装是EDR的,先上平台看了下终端情况。




       哦豁,CPU和内存爆了,直接远程到服务器上面去看。






      CPU 100% ,内存100%,看来有挖矿。

  

      上processhacker,发现有多个powershell进程在跑。占满了CPU资源




       查看网络连接,定位到挖矿的地址



         

       微步上面还没有标记成恶意地址,但是有相关的IOC信息。


       检查启动项,有一堆异常的powershell计划任务,上面都是挖矿相关的恶意代码




       dump了其中一个进程的信息,发现了通信地址的具体URL  


       访问过去是ngnix




       直接访问是下载不了的,按照内存dump出来的恶意代码格式,构造URL成功下载到病毒文件,看样子应该是驱动人生。


       二进制文件,沙箱跑不出什么结果。


       第三次方杀软只有两家能检测出来




      powershell无文件挖矿,直接删除前面发现的计划任务处理,重启之后服务器恢复了正常




   

     按道理,装了EDR应该是可以防护powershell这类挖矿的,不应该中毒啊。后面发现了问题了:



     1. EDR平台没有锁定策略,导致EDR客户端和平台策略不一致。



      2. 服务器没打MS17-010补丁

   
      3. 内网还有SMB爆破,其实在内存dump出来的代码里面已经有密码字典了。





PS: 截止发帖的时候又有客户中了个这个病毒了,通信地址一模一样的,但是现在网站已经打不开了应该是换地址了,看来IOC不能靠IP还是得靠恶意域名。

打赏鼓励作者,期待更多好文!

打赏
7人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人