攻防之道,攻是矛,防是盾。应急响应就是防守中最重要的一环,思路清晰的应急响应可以使你事半功倍,抓住攻击者的小尾巴!
本文主要面向无应急基础人员入门引导,大佬轻喷!!!文中会引用几次我经历过的真实挖矿事件案例,如有侵权请及时联系我们。
开篇
占用高?电脑卡的要命?又被挖矿了?我人傻了!
来跟我一起看看被挖矿了如果处置吧。不想看文字的大佬请看下图:挖矿木马处置流程一览图
接下来废话不多说,详细的流程在下给各位看官准备好了,请看!
一、询问攻击情况范围
事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。
1、了解现状询问客户或销售事件发生时状况,举个栗子~客户发现安全设备告警存在挖矿网站访问情况,像这个样子.
初步判断是有机器被植入挖矿病毒了,此处可以根据外部连接地址收集相关情报,如果有相关分析文章会轻松许多。
2、了解事件发生时间节点出现问题时间、发现问题时间、处置问题时间,确定这三个时间节点后,可通过时间相关性推算挖矿病毒产生大致时间,有助于后续挖矿病毒发现及清理。
3、临时抑制挖矿到达客户现场前:在不影响主业务运行的情况下,对受害机器:拔网线啊!拔网线啊!拔网线啊!
绝大部分实际情况与预期并不一致,在没到达客户现场前,及时切断网络连接是最简单有效的抑制手段。
并且,切断网络连接可使挖矿现场尽量保持完整,有助于接下来的溯源工作顺利开展。
&;
当然,对于情况较清晰的挖矿场景,已知挖矿外连地址及域名等信息,可采用防火墙建立策略封禁双向通信的方式抑制挖矿运行。
4、获取网络构架网络构架一般来讲是要拓补图,虽然一般没有(有拓扑的也不想给),但一定要委婉的要拓补图!要拓补图!要拓补图!
详细的拓扑图可以协助还原攻击流程时,准确定位网络连接方向。
二、攻击痕迹挖掘
挖矿攻击者为了达到不被发现的目的,各种手段层出不穷,溯源的过程就是和挖矿攻击者博弈的战争。
可以大致从以下几个方面入手:可疑进程、开放的端口、计划任务、服务项、可疑的用户、内存空间还有最明显的特征:占用高
占用高是挖矿时常见的状态,因为挖矿需要占用大量调用挖矿进程,虽然近些年挖矿有偏向于的趋势,但挖矿木马中还是主要以挖矿为主,毕竟不是专门做渲染的服务器一般很低。
中查看可以直接通过任务管理器中查看利用率。
&;
可使用命令获取实时占比情况:
关于查看这里提一个之前遇到过的有意思的挖矿守护机制:某次挖矿应急中,习惯性打开任务管理器查看占用情况,发现占用本身很高,但一会就降下来了。开始还以为是任务管理器开启导致的,之后分析病毒样本的时候才发现是一种守护方式。
判断开启任务管理器等调试工具时,会把挖矿进程杀死,然后等待180秒后强制关闭调试工具再进行挖矿。所以通过命令查看系统占用率:可使用方式获取占用: /
命令方式查看占用
2、可疑进程中有多种进程分析工具,可辅助快速定位异常进程。这里简单举例几种分析进程工具:、、、、、火绒剑等等,各有优劣,此处不再赘述,各位师傅自行体会。
大概样子长这样:
使用进程分析工具查看可疑进程
若无法上传工具时,可以通过占比高的进程进行相关检索。中的可以通过命令获取到高占用进程及文件路径,也可使用: - --=-%| -10--显示占比前10的进程其他占比不高的进程可以通过: ---用树形结构显示进程相关性通过外连情况排查进程: ---查看所有网络连接进程通过查看文件位置 - //[进程]/--替换 查看进程可执行程序位置 - [进程名]--进程正在使用的文件和网络连接通过以上命令,若发现高占用或者非正常外连进程,则可能为恶意进程。
3、开放的端口和均可使用 -查看一下端口情况,是否开启高危端口,存在可能被利用风险。有时攻击者使用端口转发将流量转发出内网,可以在此处看到有可疑的对外监听端口。
查看端口占用情况
4、计划任务及启动项挖矿病毒为了使挖矿进程一直运行,会做出各种各样的守护方式,计划任务就是最普遍的守护方式之一。
7使用命令;10使用命令查看计划任务列表。
开始--所有程序--启动目录中存在的文件也不能放过。
系统使用 -命令查看计划任务,但还是建议直接查看//文件,也可在///下查看计划任务的日志。
某次挖矿事件计划任务日志
&;
同上,服务也是挖矿病毒常见的守护方式之一,将注册表中服务启动方式写为挖矿病毒主程序,从而达到守护进程目的。
系统中使用:开始--运行--输入.系统中使用: -- -- |
某次挖矿事件利用服务守护挖矿进程方式
6、可疑的用户攻击者有时会创建自己的账户,用来隐藏自己的恶意行为。
中创建用户后,利用账户进行一系列隐藏操作,创建影子账户可使管理员无法发现,可通过盾查看系统中是否存在影子账户。
隐藏账户示例
中可通过以下几种命令对用户信息进行检查:
是中用来管理系统的工具,提供了从命令行接口和批命令脚本执行系统管理的支持。攻击者经常使用调用系统进程,从而实现恶意软件的运行。
使用进程分析类工具也可以分析空间,查看是否存在恶意软件,此处不再赘述。
三、样本分析
利用上部分发现的攻击痕迹中的病毒样本,可进行初步的样本分析,上传样本分析平台进行初步分析。
在线云沙箱360沙箱云:微步云沙箱:平台:魔盾安全分析平台:.交互式恶意软件分析平台:大概这个样子:
深层次的恶意文件分析涉及较多,本文不做解析,快速的应急响应中,根据沙箱中行为判定,可以及时的确认样本行为,比方这样的。
四、后门及木马文件排查根除
挖矿病毒存在各种各样的守护方式,清除挖矿主程序的同时,也需要对守护进程进行清理,一个不小心没清干净从头再来,所以后门的清除尤为重要。
以下为我遇到过的部分挖矿病毒常见守护进程方式:
2020年6月起非常活跃 1.计划任务:上每隔30分钟执行一次***.1上每隔30分钟执行一次***.2.连接:写入公钥 3.守护进程://***和//***
2018年8月首次曝光,为8220挖矿团伙使用 1.计划任务:写入计划任务 2.连接:写入公钥 3.添加启动项:将恶意代码添加至//./
勒索病毒变种,2018年3月起开始大范围传播现已变种至4.0版本 1.创建服务:主服务、2.设置开机启动项://. 3.设置定时任务://./ //
2018年12月爆发,更新20+版本 1.自启动:注册自启动、开始菜单自启动、计划任务自启动名称为:,, 2.创建服务:创建多个自启动服务器
根据以上表格不难看出,守护方式大致有计划任务、服务、开机启动项、秘钥、用户等几种方式。确认挖矿木马程序或文件并备份后,可以从以下几点着手清理及加固:
1、双向封禁矿池地址防止挖矿木马继续外连,并且防止挖矿木马进行内网传播。
2、删除计划任务、自启动项中可使用 / / [任务名]删除计划任务。自启动项可以从以下三点入手:①开始--所有程序--启动②系统配置中启动项(开始-运行中输入命令)③注册表查找病毒程序名,将此三处发现的恶意启动项删除即可。中可使用 -删除计划任务删除//.与//[0到6].文件中恶意启动项
3、删除服务中删除服务可从任务管理器中手动删除,也可使用命令: [服务名称]停止服务后,使用命令: [服务名称]删除服务。中服务清除: -. [服务名称]
4、结束恶意进程中可使用进程管理工具或使用 - [进程] -结束恶意进程。中则使用 -9 [进程]。
5、删除挖矿木马中删除时可能存在权限不足等情况,可使用360终端强杀,也可使用进程管理工具强制删除。中可使用 - [恶意文件绝对路径] 删除文件,如遇文件无权进行操作时,可使用 [恶意文件绝对路径]命令查看权限,使用 - [恶意文件绝对路径]解除文件锁定后删除。
6、病毒清除纲要以上为清理病毒程序方式,后续还需使用终端杀毒对系统进行全面杀毒及加固,并观察是否还有反复迹象。
一切以挖矿木马不再重启,不存在可疑外连为止哦。上篇就此结束,撒花。。。下篇主要讲述溯源攻击等知识,敬请期待!
你们说,每个挖矿病毒都会删除竞品挖矿程序,整合几个挖矿家族的清理脚本,是不是可以做到一键清理挖矿病毒的成效?
