设为首页收藏本站
    城市    201X-XX-XX    星期X    ---     今日温度:-----    风力:-----    风向:-----

登录  | 立即注册

游客您好!登录后享受更多精彩

用百度帐号登录

只需两步,快速登录

手机号码,快捷登录

查看: 139|回复: 2

Powershell 无文件挖矿病毒处置

[复制链接]
  • TA的每日心情
    闭嘴
    2020-5-13 10:08
  • 4

    主题

    8

    帖子

    661

    积分

    高级会员

    Rank: 4

    积分
    661
    发表于 2020-5-6 16:50:46 | 显示全部楼层 |阅读模式


          内部服务器访问很慢,上去检查一下原因,发现CPU和内存都跑满了。

          服务器有装是EDR的,先上平台看了下终端情况。




           哦豁,CPU和内存爆了,直接远程到服务器上面去看。






          CPU 100% ,内存100%,看来有挖矿。

      

          上processhacker,发现有多个powershell进程在跑。占满了CPU资源




           查看网络连接,定位到挖矿的地址



             

           微步上面还没有标记成恶意地址,但是有相关的IOC信息。


           检查启动项,有一堆异常的powershell计划任务,上面都是挖矿相关的恶意代码




           dump了其中一个进程的信息,发现了通信地址的具体URL  


           访问过去是ngnix




           直接访问是下载不了的,按照内存dump出来的恶意代码格式,构造URL成功下载到病毒文件,看样子应该是驱动人生。


           二进制文件,沙箱跑不出什么结果。


           第三次方杀软只有两家能检测出来




          powershell无文件挖矿,直接删除前面发现的计划任务处理,重启之后服务器恢复了正常




       

         按道理,装了EDR应该是可以防护powershell这类挖矿的,不应该中毒啊。后面发现了问题了:



         1. EDR平台没有锁定策略,导致EDR客户端和平台策略不一致。



          2. 服务器没打MS17-010补丁

       
          3. 内网还有SMB爆破,其实在内存dump出来的代码里面已经有密码字典了。





    PS: 截止发帖的时候又有客户中了个这个病毒了,通信地址一模一样的,但是现在网站已经打不开了应该是换地址了,看来IOC不能靠IP还是得靠恶意域名。undefined

    回复

    使用道具 举报

  • TA的每日心情
    难过
    2020-5-9 13:54
  • 4

    主题

    36

    帖子

    799

    积分

    高级会员

    Rank: 4

    积分
    799
    发表于 2020-5-9 13:56:36 | 显示全部楼层
    感谢分享
    回复

    使用道具 举报

  • TA的每日心情
    萌哒
    2020-5-15 21:23
  • 0

    主题

    3

    帖子

    705

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    705
    发表于 2020-5-15 21:32:00 | 显示全部楼层
    大力支持原创文章,先加个精华
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册 用百度帐号登录

    本版积分规则

    Archiver|手机版|小黑屋|互联网安全民间响应组织论坛

    GMT+8, 2020-5-29 07:59 , Processed in 0.201813 second(s), 38 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2020, Tencent Cloud.

    快速回复 返回顶部 返回列表