最近,一種利用Powershell的挖礦病毒在企業網絡中頻繁爆發,該病毒其利用了WMI+Powershell方式進行無文件攻擊,並長駐內存進行挖礦。
Powershell的挖礦病毒具備無文件攻擊的高級威脅外,還具有兩種橫向傳染機制,分別爲WMIExec自動化爆破和MS17-010“永恆之藍”漏洞攻擊,極易在企業網的局域網內迅速傳播。
在過去的一年裏,至少處理了8起有關Powershell挖礦病毒。今天我們就來談一談該病毒的處理方式和防範措施。
某一天,當你檢查服務器,發現很多服務器的CPU使用率特別高,且使用進程爲Powershell.exe時,那麼基本可以判定,您的服務器中了Powershell挖礦病毒了。
不過根據已經中過Powershell挖礦病毒企業觀察到的情況,Powershell挖礦病毒除了耗盡服務器的CPU以外,也沒有什麼其他破壞性的行爲。
中Powershell挖礦病毒後的現象
當服務器感染了Powershell挖礦病毒後,通過交互式登錄操作系統,利用ProcessExplorer.exe進程查看器進程,會發現Powershell.exe進程的CPU使用率非常高。
通過wbemtest打開WMI測試器,連接到:root\Default時會發現Powershell挖礦病毒已經幫您新建了一個攻擊類
之前的名稱叫:Win32_Services,後面有一些變種病毒創建的攻擊類更改了名稱爲:System_Anti_Virus_Core,但是內容還是一樣的類型。
雙擊攻擊類後會發現,經過Base 64加密的攻擊代碼;
Base 64解碼器
http://www.heminjie.com/tool/base64.php
Powershell.exe挖礦病毒還會在本地安全策略中創建一條阻止連接本服務器445號端口的IPSec策略。
處理Powershell挖礦病毒
目前已經有一些防病毒廠商對Powershell挖礦病毒進行查殺,建議通過防病毒進行系統性的查殺,如果還沒有防病毒的企業,或者您企業中的防病毒目前還無法查殺類似這種挖礦病毒的時候,也可以通過手動方式進行清理。詳細步驟如下:
1.結束Powershell.exe進程
由於服務器中了挖礦病毒後,整理反應會特別的慢,所以建議通過taskkill命令暫時將服務器上的Powershell.exe結束後再行處理(結束Powershell.exe進程後,Powershell.exe進程會在1-2個小時內自行啓動)。
2.刪除攻擊類
通過wbemtest打開WMI檢查器
連接到默認的命名空間
中了挖礦病毒的機器會多出個如下截圖的類
或者類似這種類
3.刪除本地安全策略netbc的IPSec策略
打開本地安全策略,然後定位到安全設置à應用程序控制策略àIP安全策略(默認是空的)
根據之前的處理結果,對服務器進行如下幾步操作後,Powershell挖礦病毒基本沒有再復發。
安全建議
1.系統層面
服務器端:
- 建立服務器投產標準化規範,安全基線(如:服務器上線之前,安全策略如何設置、補丁要求、防病毒、運維管理要求如何配置等)
- 定義服務器運維規範,安全要求,以及安全檢查機制
- 建立服務器配置管理機制,首先針對操作系統進行配置管理
客戶端:
- 建立客戶端系統准入機制,如沒有進行補丁更新、沒有安裝防病毒的客戶端無法訪問服務器區網絡
- 定義客戶端補丁更新策略、防病毒更新策略等安全要求
- 建立客戶端統一的桌管平臺,讓客戶端的機器能夠統一的進行管理
2. 運維層面
- 加強服務器監控預警機制
- 加強用戶安全意識教育
- 建立統一日誌管理平臺,可收集、存儲、分析服務器系統及網絡設備的相關日誌;
- 建立服務器統一運維管理平臺,能夠快速批量的管理服務器;
作者:王吉