我是靠谱客的博主 机智手套,最近开发中收集的这篇文章主要介绍Powershell 挖矿病毒处理与防范中Powershell挖矿病毒后的现象处理Powershell挖矿病毒安全建议 推荐优质文章,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。

 

Powershell的挖矿病毒具备无文件攻击的高级威胁外,还具有两种横向传染机制,分别为WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击,极易在企业网的局域网内迅速传播。

 

在过去的一年里,至少处理了8起有关Powershell挖矿病毒。今天我们就来谈一谈该病毒的处理方式和防范措施。

 

05c9f18322b690d7ebf46317053bdc69

某一天,当你检查服务器,发现很多服务器的CPU使用率特别高,且使用进程为Powershell.exe时,那么基本可以判定,您的服务器中了Powershell挖矿病毒了。

 

不过根据已经中过Powershell挖矿病毒企业观察到的情况,Powershell挖矿病毒除了耗尽服务器的CPU以外,也没有什么其他破坏性的行为。

 

 

中Powershell挖矿病毒后的现象

 

当服务器感染了Powershell挖矿病毒后,通过交互式登录操作系统,利用ProcessExplorer.exe进程查看器进程,会发现Powershell.exe进程的CPU使用率非常高。

0bc46734208539aaba1837cf660d255e

通过wbemtest打开WMI测试器,连接到:rootDefault时会发现Powershell挖矿病毒已经帮您新建了一个攻击类

 

之前的名称叫:Win32_Services,后面有一些变种病毒创建的攻击类更改了名称为:System_Anti_Virus_Core,但是内容还是一样的类型。

 

双击攻击类后会发现,经过Base 64加密的攻击代码;

4cb845403408198663b8327989d23bb9

0d63fe8a6df8f4d68867c55cb198ba1e

Base 64解码器

http://www.heminjie.com/tool/base64.php

9fb3e622e3be750373fff203d55bb05b

 

Powershell.exe挖矿病毒还会在本地安全策略中创建一条阻止连接本服务器445号端口的IPSec策略。

 

处理Powershell挖矿病毒

 

目前已经有一些防病毒厂商对Powershell挖矿病毒进行查杀,建议通过防病毒进行系统性的查杀,如果还没有防病毒的企业,或者您企业中的防病毒目前还无法查杀类似这种挖矿病毒的时候,也可以通过手动方式进行清理。详细步骤如下:

 

1.结束Powershell.exe进程

由于服务器中了挖矿病毒后,整理反应会特别的慢,所以建议通过taskkill命令暂时将服务器上的Powershell.exe结束后再行处理(结束Powershell.exe进程后,Powershell.exe进程会在1-2个小时内自行启动)。

deb3de75c34ba6f782c9907ec332a5cb

 

 2.删除攻击类

 

通过wbemtest打开WMI检查器

e52bb28acd16cf117f38c3c423fce643

 

连接到默认的命名空间

69b19b84aa2beb4285d08abc74721005

15926f982de77316a4a6bbeec5870d83

 

中了挖矿病毒的机器会多出个如下截图的类

c7ea3046d279fffc1eb79ccf5199129b

或者类似这种类

642191f77f3a6d5ba2aca95c3e33efff

 

3.删除本地安全策略netbc的IPSec策略

 

打开本地安全策略,然后定位到安全设置à应用程序控制策略àIP安全策略(默认是空的

4ec37fd05d291689c7709453d339641d

根据之前的处理结果,对服务器进行如下几步操作后,Powershell挖矿病毒基本没有再复发。

 

安全建议 

 

1.系统层面

 服务器端:

  • 建立服务器投产标准化规范,安全基线(如:服务器上线之前,安全策略如何设置、补丁要求、防病毒、运维管理要求如何配置等)
  • 定义服务器运维规范,安全要求,以及安全检查机制
  • 建立服务器配置管理机制,首先针对操作系统进行配置管理

客户端:

  • 建立客户端系统准入机制,如没有进行补丁更新、没有安装防病毒的客户端无法访问服务器区网络
  • 定义客户端补丁更新策略、防病毒更新策略等安全要求
  • 建立客户端统一的桌管平台,让客户端的机器能够统一的进行管理

 

2. 运维层面

  • 加强服务器监控预警机制
  • 加强用户安全意识教育
  • 建立统一日志管理平台,可收集、存储、分析服务器系统及网络设备的相关日志;
  • 建立服务器统一运维管理平台,能够快速批量的管理服务器;

 

作者:王吉


推荐优质文章

1.嘉为蓝鲸CMP:跳出云管看云管

2.AD域整合的注意事项

3.【干货】DevOps的演进与落地价值

4.运维大数据平台落地构想

5.浅谈企业如何建设云管理平台(CMP)

转载于:https://my.oschina.net/u/4026796/blog/3095173

最后

以上就是机智手套为你收集整理的Powershell 挖矿病毒处理与防范中Powershell挖矿病毒后的现象处理Powershell挖矿病毒安全建议 推荐优质文章的全部内容,希望文章能够帮你解决Powershell 挖矿病毒处理与防范中Powershell挖矿病毒后的现象处理Powershell挖矿病毒安全建议 推荐优质文章所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(53)

评论列表共有 0 条评论

立即
投稿
返回
顶部