<aside> 💡 Notion Tip: 勒索病毒.
</aside>
1、特征为:挖矿服务器的CPU或GPU占用率居高不下;外连矿池地址矿池地址一般含有pool、xmr、eth、bth等字符;爆破行为等
2、挖矿病毒的确认:
1. 通信端口:挖矿木马可能会使用特定的端口进行通信。例如,Monero挖矿木马通常会使用TCP端口3333或5555进行通信
2. 通信流量:挖矿木马的通信流量可能会具有特定的特征,例如大量的高速数据传输和周期性的通信,在数据包中可以看到大量的计算资源使用信息和挖矿结果信息
3. 进程和文件系统:挖矿木马可能会创建特定的进程和文件来执行挖矿操作。例如,Monero挖矿木马通常会在操作系统上创建名为""xmrig""的进程,并在文件系统上创建名为""config.json""的配置文件
4. 系统资源:挖矿木马可能会占用系统资源,例如CPU和内存,并可能导致系统崩溃或变得缓慢。
5. 判断流量的数据:挖矿木马通常会在通信中发送一些特定的数据,例如挖矿难度、钱包地址、挖矿程序版本等,如果流量中存在这些数据,就可能存在挖矿木马
6. 看数据包的详细信息,看终端或者服务器是否有与矿池交互的信息,判断是否存在登录到矿池(method“:”login“)、从矿池接收任务(”method“:”job“)字段,在载荷内容中是否存在ok、success等字段"
3、挖矿病毒的应急响应流程:
1、了解攻击情况及范围:与受影响的服务器管理员或相关人员沟通,了解挖矿病毒的现状。获取事件发生的时间节点、网络架构和受影响范围。
2、临时抑制:如果能断网的业务进行断网处理,不能断网的业务可以关闭高危端口 比如445 3389,或者向上面写申请一个维护页面挂在该web网页
2、攻击痕迹挖掘:根据高CPU占用、异常进程、开放的端口、计划任务、启动项和可疑账户等线索,定位到挖矿病毒的样本。这些痕迹有助于确定挖矿病毒的来源和入侵路径。
3、样本分析:备份挖矿病毒样本,并使用云沙箱等工具对样本进行行为分析。这有助于了解病毒的特征、功能和传播方式,并为后续的排查和根除提供指导。
4、排查与根除:挖矿病毒通常会进行权限维持,因此需要彻底排查和根除恶意的计划任务、启动项、SSH公钥、进程和病毒文件。删除相关的病毒文件,并修复受影响系统的安全漏洞。
5、溯源:(根据攻击痕迹的清晰程度分为两种情况进行溯源)
攻击痕迹清晰:通过安全设备日志、系统日志等进行溯源分析。重点关注攻击的时间节点、攻击方式、病毒文件、攻击者身份和攻击复现。通过收集和分析这些信息,可以更好地了解攻击者的行为和目的。
攻击痕迹记录不全:进行漏洞挖掘工作,检查系统中可能存在的安全漏洞。同时,与相关人员进行交流,询问是否有其他可用的信息或线索。
6、提出修改建议和输出文档:根据应急响应的经验和挖矿病毒的特点,提出系统的修改建议和加固措施。将应急响应的流程、结果和建议整理成文档,以便参考和后续的改进工作。
4、挖矿病毒的应急处置:
1、Linux系统:
top命令查看进程,有异常的话netstat -anpt查看外连IP,根据端口信息定位到文件,cd /proc/PID (ls -l查看),通过微步确认可疑IP是否为矿池地址或恶意脚本地址;无异常的话确认库文件是否正常,使用busybox删除恶意库文件
查看/etc/crontab和/var/spool/cron目录,排查可疑的计划任务;也可以使用crontab -l命令查询。
查看/etc/rc.d目录和/etc/init.d目录,排查可疑开机启动项。
查看/etc/profile、/etc/bashrc、~/.bash_profile和~/.bashrc文件,排查可疑环境变量。
将前面排查出来的病毒相关文件全部清除。
Kill -9 [PID]结束挖矿进程,主机恢复正常
2、windows系统:
netstat -ano和tasklist | findstr 'PID'查看外连情况以及对应的进程
如果无法定位到可疑进程,可使用“Procexp.exe”工具查看,通过OptionConfig colors看到不同颜色的各个进程,重点关注紫色、深红色以及浅蓝色。
使用AutoRuns工具查看注册表、启动项、计划任务和服务是否异常。Autoruns 中应重点观察被标记为红色或黄色的项目,重点观看发布者 Not Verified(未签名)的项目,未签名文件要查看 Image Path项(即实际执行文件路径)
使用PCHunter工具将前面处置2.1-2.4排查出来的病毒相关文件全部清除,特别注意以下几个目录:
C:\\users\\用户\\AppData\\Local\\Temp
C:\\Windows\\System32\\
C:\\Windows\\SysWOW64\\
C:\\users\\用户\\AppData\\Local\\Temp
C:\\Windows\\system32\\drivers\\
C:\\Users\\用户\\AppData\\Local\\Microsoft\\
清除顺序一般为:删除恶意驱动文件恶意dll异常服务异常计划任务异常启动项异常SQLServer作业恶意进程母体病毒释放的残留文件。