window挖矿病毒应急响应练习

2022年9月16日00:03:11评论98 views字数 786阅读2分37秒阅读模式

01 前言

虚拟货币“挖矿”是利用计算机的设备资源（如算力、网络带宽、硬盘存储等）去解决复杂数学运算的一个过程，从而产生基于区块链技术的去中心化虚拟货币的行为，产生的虚拟货币以比特币和以太坊为主，而虚拟货币可以通过交易市场进行买卖，从而获得大额金钱收益。

主机被植入挖矿病毒，可使得主机长时间执行高性能计算，浪费网络带宽，CPU和内存占用较高，不能及时处理用户的正常请求或任务。同时，增加电力消耗，加快电脑CPU、内存等硬件老化速度

02 挖矿病毒应急响应

*环境搭建：本次实验环境如下。下载对应版本在主机上安装即可进行实验

https://github.com/skypool-org/xmrig-skypool/releases

*故事背景：某天上午，IT部门反馈内部服务器疑似被攻击，攻击特征为服务器cpu利用率非常高，几乎占满，怀疑被挖矿开始跟踪分析。

在应急响应前，我们先进行断网操作
cpu使用率高是中了挖矿病毒的一个特征，我们查看一下进程的使用情况

发现一个进程名为“xmrig”的应用占用内存非常高。通过搜索，我们找到这个应用，知道了这个应用创建的时间

将该进程停止，cpu就降了下来

window挖矿病毒应急响应练习

查看配置文件，在配置文件中发现一个url地址

我们使用微步等威胁情报平台对该地址进行查询，确定为挖矿程序

window挖矿病毒应急响应练习

确定下来之后，我们就可以对该程序进行清理了。查看开启启动项，发现已经将程序写入了开启自启动项中

window挖矿病毒应急响应练习

将开启自启动任务删除

window挖矿病毒应急响应练习

查看病毒是否写写入了启动项，将该任务删除即可 window挖矿病毒应急响应练习

window挖矿病毒应急响应练习

查看是否存在可疑对外连接进程

window挖矿病毒应急响应练习

03 后续操作

1、根据相关日志寻找挖矿病毒是如何进入主机的，将漏洞进行修补

2、安装安全软件并升级病毒库，定期全盘扫描，保持实时防护；

3、及时更新 Windows安全补丁，开启防火墙临时关闭端口；

4、及时更新web漏洞补丁，升级web组件

原文始发于微信公众号（GSDK安全团队）：window挖矿病毒应急响应练习

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

啊？谁把我黑了？？（一）