挖矿？勒索？你怎么看

最近对遇到的一些病毒木马事件的研判和处理思路进行了一些总结和整理，给大家分享一下！

01

—

挖矿

流量特征：

内->外，攻击者为外

1、产生大量外连行为与矿池通信，但通信过程大概率加密 

2、恶意字段有jsonrpc、id、login、submit、params、seed_hash、mining.subscribe、mining.authorize等 

3、可能伴随内网扫描和密码爆破行为 

挖矿协议：Stratum协议（主流），GBT协议，getwork协议

行为特征：

1、高CPU和GPU占用，响应速度变慢，系统崩溃或频繁重启 

2、CPU和GPU占用不高，但磁盘空间和网络宽带占用高 

3、会对矿池进行DNS查询和IP连接 

4、通过计划任务持久化运行，隐藏自身行为，可能向内网传播

处置：

1、断网隔离，定位恶意进程--删除恶意文件--删除恶意程序自启动-- kill进程 

2、根据日志流量定位入侵源，通过防火墙和入侵检测设备，监控网络流量并封禁威胁IP 

3、更新操作系统和应用程序补丁，修复已知漏洞，减少后续病毒入侵风险 

4、对数据进行备份到离线设备，防止数据丢失或加密勒索

Tips：

我们在判断一个IP是否有挖矿嫌疑的时候，不应只是在各大威胁情报平台上看标签，看是否为公共矿池，对其资产测绘查看是否有挖矿相关应用也是日常研判中的常用思路，如下 

02

—

勒索

流量特征：

内->外，攻击者为外 

1、尝试与多个命令和控制服务器（C2）建立连接，并发送大量的数据请求来获取密钥或执行勒索 

2、因为要响应攻击指令和提交加密结果，会频繁的向C2服务器通信 

3、会在加密开始和结束时产生数据流量的突发性 

4、某些加密算法具有特定的流量模式，例如RSA加密算法通常具有长度不同的加密数据块，因此可以通过分析数据包的大小、数量、延迟等特征来判断是否存在加密活动

处置：

1、断网隔离，避免病毒继续传播和加密更多数据 

2、格式化磁盘，使用备份数据恢复系统到未受攻击的状态 

3、根据加密文件特征，谷歌搜索是否有成功案例

03

—

蠕虫

流量特征：

内1->内2，攻击者为内1；或内->外，攻击者为外 

1、总体流量未必很大，但发包远大于收包

 2、蠕虫在扫描、爆破期间会发送大量的SYN包，这种包长度较小，大概在70bytes左右 

3、产生大量的会话连接

处置：

1、断网隔离，尽量关闭外部连接 

2、将危险端口135、137、138、139和445端口关闭，封堵非业务端口 

3、设置安全设备告警规则：单位时间内每秒包长小于128bytes的，判断为蠕虫 

4、服务器或主机设置高强度密码 5、安装资产对应的安全补丁

Tips：

蠕虫的行为往往并不单一，常常伴随挖矿、远控等一起出现，所以不光对内感染主机，还外联矿池或通信C2

04

—

木马

流量特征：

内->外，攻击者为外 

1、出口流量较高，同时可能有大量信息或攻击流量 

2、尝试与C2服务器建立连接，发送大量数据请求，频繁与C2通信，一般使用长连接 

3、可能会使用非标准的协议及随机端口进行通信，例如使用加密协议、高端口号或隐藏在其他协议中 

4、产生异常的流量模式，例如突发性高流量、周期性流量增长

处置：

1、断网隔离，更新补丁，修复漏洞 

2、使用杀软或安全工具进行全盘扫描，清除木马病毒和所有相关恶意文件和进程 

3、对网络拓扑结构进行重新评估和调整，更新网络设备和配置，加强网络的安全性和可管理性 

4、密切关注威胁情报，及时收集和分析木马病毒的特征信息 

5、根据情况对防火墙和入侵检测设备进行规则调优，同时监控网络流量并封禁威胁IP

Tips：

日常研判除了查询恶意域名和IP以外，可以查询一下文件md5值，如果样本被提交过我们可以根据沙箱分析给出更具体的处置建议

• 行动是治愈恐惧的良药，而犹豫、拖延，将不断滋养恐惧

欢迎关注不懂安全⬇️

原文始发于微信公众号（不懂安全）：挖矿？勒索？你怎么看