Powershell 无文件挖矿病毒处置

admin 2024年2月21日19:32:44评论12 views字数 600阅读2分0秒阅读模式
前段同事抱怨服务器访问的很慢,一开始我不在意,直到自己有一天去下个东西,发现卡的不行,赶紧查了下。
服务器有装是EDR的,先上平台看了下终端情况。
Powershell 无文件挖矿病毒处置
哦豁,CPU和内存爆了,直接远程到服务器上面去看。
Powershell 无文件挖矿病毒处置
CPU 100% ,内存100%,看来有挖矿。
上processhacker,发现有多个powershell进程在跑。占满了CPU资源
Powershell 无文件挖矿病毒处置
查看网络连接,定位到挖矿的地
Powershell 无文件挖矿病毒处置
微步上面还没有标记成恶意地址,但是有相关的IOC信息。
Powershell 无文件挖矿病毒处置
检查启动项,有一堆异常的powershell计划任务,上面都是挖矿相关的恶意代码
Powershell 无文件挖矿病毒处置
dump了其中一个进程的信息,发现了通信地址的具体URL

http://207.1**.225.82
Powershell 无文件挖矿病毒处置
访问过去是ngnix
Powershell 无文件挖矿病毒处置
直接访问是下载不了的,按照内存dump出来的恶意代码格式,构造URL成功下载到病毒文件,看样子应该是驱动人生。
Powershell 无文件挖矿病毒处置
二进制文件,沙箱跑不出什么结果。
Powershell 无文件挖矿病毒处置
第三次方杀软只有两家能检测出来

Powershell 无文件挖矿病毒处置
powershell无文件挖矿,直接删除前面发现的计划任务处理,重启之后服务器恢复了正常
Powershell 无文件挖矿病毒处置
按道理,装了EDR应该是可以防护powershell这类挖矿的,不应该中毒啊。后面发现了问题了:
1. EDR平台没有锁定策略,导致EDR客户端和平台策略不一致。

Powershell 无文件挖矿病毒处置

2. 服务器没打MS17-010补丁

Powershell 无文件挖矿病毒处置

3. 内网还有SMB爆破,其实在内存dump出来的代码里面已经有密码字典了。

Powershell 无文件挖矿病毒处置

原文始发于微信公众号(菜鸟小新):Powershell 无文件挖矿病毒处置

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月21日19:32:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Powershell 无文件挖矿病毒处置https://cn-sec.com/archives/2512967.html

发表评论

匿名网友 填写信息