window挖矿病毒应急响应练习

admin 2022年9月16日00:03:11应急响应评论17 views786字阅读2分37秒阅读模式
window挖矿病毒应急响应练习

 01 前言

虚拟货币“挖矿”是利用计算机的设备资源(如算力、网络带宽、硬盘存储等)去解决复杂数学运算的一个过程,从而产生基于区块链技术的去中心化虚拟货币的行为,产生的虚拟货币以比特币和以太坊为主,而虚拟货币可以通过交易市场进行买卖,从而获得大额金钱收益。
主机被植入挖矿病毒,可使得主机长时间执行高性能计算,浪费网络带宽,CPU和内存占用较高,不能及时处理用户的正常请求或任务。同时,增加电力消耗,加快电脑CPU、内存等硬件老化速度


window挖矿病毒应急响应练习

02 挖矿病毒应急响应

*环境搭建:本次实验环境如下。下载对应版本在主机上安装即可进行实验
https://github.com/skypool-org/xmrig-skypool/releases

*故事背景:某天上午,IT部门反馈内部服务器疑似被攻击,攻击特征为服务器cpu利用率非常高,几乎占满,怀疑被挖矿开始跟踪分析。
window挖矿病毒应急响应练习


在应急响应前,我们先进行断网操作
cpu使用率高是中了挖矿病毒的一个特征,我们查看一下
进程的使用情况
window挖矿病毒应急响应练习
发现一个进程名为“xmrig”的应用占用内存非常高。通过搜索,我们找到这个应用,知道了这个应用创建的时间
window挖矿病毒应急响应练习

window挖矿病毒应急响应练习

将该进程停止,cpu就降了下来

window挖矿病毒应急响应练习


查看配置文件,在配置文件中发现一个url地址
window挖矿病毒应急响应练习

我们使用微步等威胁情报平台对该地址进行查询,确定为挖矿程序

window挖矿病毒应急响应练习

确定下来之后,我们就可以对该程序进行清理了。查看开启启动项,发现已经将程序写入了开启自启动项中

window挖矿病毒应急响应练习


将开启自启动任务删除

window挖矿病毒应急响应练习


查看病毒是否写写入了启动项,
将该任务删除即可window挖矿病毒应急响应练习

window挖矿病毒应急响应练习

查看是否存在可疑对外连接进程

window挖矿病毒应急响应练习



window挖矿病毒应急响应练习

03 后续操作

1、根据相关日志寻找挖矿病毒是如何进入主机的,将漏洞进行修补
2、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护;

3、及时更新 Windows安全补丁,开启防火墙临时关闭端口;

4、及时更新web漏洞补丁,升级web组件



原文始发于微信公众号(GSDK安全团队):window挖矿病毒应急响应练习

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月16日00:03:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  window挖矿病毒应急响应练习 http://cn-sec.com/archives/1297728.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: