window挖矿病毒应急响应练习

admin
admin
admin
101093
文章
87
评论
2022年9月16日00:03:11评论71 views字数 786阅读2分37秒阅读模式
window挖矿病毒应急响应练习

 01 前言

虚拟货币“挖矿”是利用计算机的设备资源(如算力、网络带宽、硬盘存储等)去解决复杂数学运算的一个过程,从而产生基于区块链技术的去中心化虚拟货币的行为,产生的虚拟货币以比特币和以太坊为主,而虚拟货币可以通过交易市场进行买卖,从而获得大额金钱收益。
主机被植入挖矿病毒,可使得主机长时间执行高性能计算,浪费网络带宽,CPU和内存占用较高,不能及时处理用户的正常请求或任务。同时,增加电力消耗,加快电脑CPU、内存等硬件老化速度


window挖矿病毒应急响应练习

02 挖矿病毒应急响应

*环境搭建:本次实验环境如下。下载对应版本在主机上安装即可进行实验
https://github.com/skypool-org/xmrig-skypool/releases

*故事背景:某天上午,IT部门反馈内部服务器疑似被攻击,攻击特征为服务器cpu利用率非常高,几乎占满,怀疑被挖矿开始跟踪分析。
window挖矿病毒应急响应练习


在应急响应前,我们先进行断网操作
cpu使用率高是中了挖矿病毒的一个特征,我们查看一下进程的使用情况
window挖矿病毒应急响应练习
发现一个进程名为“xmrig”的应用占用内存非常高。通过搜索,我们找到这个应用,知道了这个应用创建的时间
window挖矿病毒应急响应练习

window挖矿病毒应急响应练习

将该进程停止,cpu就降了下来

window挖矿病毒应急响应练习


查看配置文件,在配置文件中发现一个url地址
window挖矿病毒应急响应练习

我们使用微步等威胁情报平台对该地址进行查询,确定为挖矿程序

window挖矿病毒应急响应练习

确定下来之后,我们就可以对该程序进行清理了。查看开启启动项,发现已经将程序写入了开启自启动项中

window挖矿病毒应急响应练习


将开启自启动任务删除

window挖矿病毒应急响应练习


查看病毒是否写写入了启动项,将该任务删除即可window挖矿病毒应急响应练习

window挖矿病毒应急响应练习

查看是否存在可疑对外连接进程

window挖矿病毒应急响应练习



window挖矿病毒应急响应练习

03 后续操作

1、根据相关日志寻找挖矿病毒是如何进入主机的,将漏洞进行修补
2、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护;

3、及时更新 Windows安全补丁,开启防火墙临时关闭端口;

4、及时更新web漏洞补丁,升级web组件



原文始发于微信公众号(GSDK安全团队):window挖矿病毒应急响应练习

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月16日00:03:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   window挖矿病毒应急响应练习https://cn-sec.com/archives/1297728.html

发表评论

匿名网友 填写信息