前段同事抱怨服务器访问的很慢,一开始我不在意,直到自己有一天去下个东西,发现卡的不行,赶紧查了下。
服务器有装是EDR的,先上平台看了下终端情况。
![Powershell 无文件挖矿病毒处置]( "Powershell 无文件挖矿病毒处置")
哦豁,CPU和内存爆了,直接远程到服务器上面去看。
![Powershell 无文件挖矿病毒处置]( "Powershell 无文件挖矿病毒处置")
CPU 100% ,内存100%,看来有挖矿。
上processhacker,发现有多个powershell进程在跑。占满了CPU资源
![Powershell 无文件挖矿病毒处置]( "Powershell 无文件挖矿病毒处置")
查看网络连接,定位到挖矿的地
![Powershell 无文件挖矿病毒处置]( "Powershell 无文件挖矿病毒处置")
微步上面还没有标记成恶意地址,但是有相关的IOC信息。
![Powershell 无文件挖矿病毒处置]( "Powershell 无文件挖矿病毒处置")
检查启动项,有一堆异常的powershell计划任务,上面都是挖矿相关的恶意代码
![Powershell 无文件挖矿病毒处置]( "Powershell 无文件挖矿病毒处置")
dump了其中一个进程的信息,发现了通信地址的具体URL
服务器有装是EDR的,先上平台看了下终端情况。
哦豁,CPU和内存爆了,直接远程到服务器上面去看。
CPU 100% ,内存100%,看来有挖矿。
上processhacker,发现有多个powershell进程在跑。占满了CPU资源
查看网络连接,定位到挖矿的地
微步上面还没有标记成恶意地址,但是有相关的IOC信息。
检查启动项,有一堆异常的powershell计划任务,上面都是挖矿相关的恶意代码
dump了其中一个进程的信息,发现了通信地址的具体URL
http://207.1**.225.82
访问过去是ngnix
直接访问是下载不了的,按照内存dump出来的恶意代码格式,构造URL成功下载到病毒文件,看样子应该是驱动人生。
二进制文件,沙箱跑不出什么结果。
第三次方杀软只有两家能检测出来
powershell无文件挖矿,直接删除前面发现的计划任务处理,重启之后服务器恢复了正常
按道理,装了EDR应该是可以防护powershell这类挖矿的,不应该中毒啊。后面发现了问题了:
1. EDR平台没有锁定策略,导致EDR客户端和平台策略不一致。
2. 服务器没打MS17-010补丁
3. 内网还有SMB爆破,其实在内存dump出来的代码里面已经有密码字典了。
原文始发于微信公众号(菜鸟小新):Powershell 无文件挖矿病毒处置
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论