免责声明

edr一直告警，技术初步排查找不到对应计划任务及开机启动，告警却每20分钟触发一次，寻求安服仔远程支持。

首先按照常规看的确没看到异常项

然后看看系统日志

日志显示主机从2020年1月12日之前已经被控，日志记录到12号凌晨五点，再往前就没有powershell日志，从12号开始一直通过powershell执行命令

从命令来看用的是无文件攻击技术

取其中一段日志内容Base64解码内容

分析内容发现，攻击者通过绑定WMI事件，注册stem_Anti_Virus_Core类，向system_Anti_Virus_Core的属性中写入恶意利用，即只要WMI服务运行，当监控到指定事件发生时，就会执行攻击者预先设定好的功能

使用工具查看wmi启动项为空

这时候不要放弃

使用系统自带的wbemtest.exe查看WMI测试器    

Cmd直接输入wbemtest.exe回车

从枚举出来的类中滑到最后发现System_Anti_Virus_Core类有点异常

打开\.rootdefault:System_Anti_Virus_Core类，发现写入的异常属性

解码得到

从以上行为特征看符合挖矿程序行为，百度一下这个挖矿程序

根据这个挖矿程序的特征找到了 2020年1月16日建的ipsec Netbc

未发现多余的账号

未发现可疑的计划任务

未发现可疑的开机启动