Powershell 挖矿病毒处理与防范

最近，一种利用Powershell的挖矿病毒在企业网络中频繁爆发，该病毒其利用了WMI+Powershell方式进行无文件攻击，并长驻内存进行挖矿。

 

Powershell的挖矿病毒具有无文件攻击的高级威胁外，还具备两种横向传染机制，分别为WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击，极易在企业网的局域网内迅速传播。

 

在过去的一年里，至少处理了8起有关Powershell挖矿病毒。今天咱们就来谈一谈该病毒的处理方式和防范措施。

 

某一天，当你检查服务器，发现不少服务器的CPU使用率特别高，且使用进程为Powershell.exe时，那么基本能够断定，您的服务器中了Powershell挖矿病毒了。

 

不过根据已经中过Powershell挖矿病毒企业观察到的状况，Powershell挖矿病毒除了耗尽服务器的CPU之外，也没有什么其余破坏性的行为。

 

 

中Powershell挖矿病毒后的现象

 

当服务器感染了Powershell挖矿病毒后，经过交互式登陆操做系统，利用ProcessExplorer.exe进程查看器进程，会发现Powershell.exe进程的CPU使用率很是高。

经过wbemtest打开WMI测试器，链接到：root\Default时会发现Powershell挖矿病毒已经帮您新建了一个攻击类

 

以前的名称叫：Win32_Services，后面有一些变种病毒建立的攻击类更改了名称为：System_Anti_Virus_Core,可是内容仍是同样的类型。

 

双击攻击类后会发现，通过Base 64加密的攻击代码；

Base 64解码器

http://www.heminjie.com/tool/base64.php

 

Powershell.exe挖矿病毒还会在本地安全策略中建立一条阻止链接本服务器445号端口的IPSec策略。

 

处理Powershell挖矿病毒

 

目前已经有一些防病毒厂商对Powershell挖矿病毒进行查杀，建议经过防病毒进行系统性的查杀，若是尚未防病毒的企业，或者您企业中的防病毒目前还没法查杀相似这种挖矿病毒的时候，也能够经过手动方式进行清理。详细步骤以下：

 

1.结束Powershell.exe进程

因为服务器中了挖矿病毒后，整理反应会特别的慢，因此建议经过taskkill命令暂时将服务器上的Powershell.exe结束后再行处理（结束Powershell.exe进程后，Powershell.exe进程会在1-2个小时内自行启动）。

 

 2.删除攻击类

 

经过wbemtest打开WMI检查器

 

链接到默认的命名空间

 

中了挖矿病毒的机器会多出个以下截图的类

或者相似这种类

 

3.删除本地安全策略netbc的IPSec策略

 

打开本地安全策略，而后定位到安全设置à应用程序控制策略àIP安全策略（默认是空的）

根据以前的处理结果，对服务器进行以下几步操做后，Powershell挖矿病毒基本没有再复发。

 

安全建议 

 

1.系统层面

 服务器端：

• 创建服务器投产标准化规范，安全基线(如：服务器上线以前，安全策略如何设置、补丁要求、防病毒、运维管理要求如何配置等)

• 定义服务器运维规范，安全要求，以及安全检查机制

• 创建服务器配置管理机制，首先针对操做系统进行配置管理

​

客户端：

• 创建客户端系统准入机制，如没有进行补丁更新、没有安装防病毒的客户端没法访问服务器区网络

• 定义客户端补丁更新策略、防病毒更新策略等安全要求

• 创建客户端统一的桌管平台，让客户端的机器可以统一的进行管理

 

2. 运维层面

• 增强服务器监控预警机制

• 增强用户安全意识教育

• 创建统一日志管理平台，可收集、存储、分析服务器系统及网络设备的相关日志；

• 创建服务器统一运维管理平台，可以快速批量的管理服务器；

 

做者：王吉

---

推荐优质文章

1.嘉为蓝鲸CMP：跳出云管看云管

2.AD域整合的注意事项

3.【干货】DevOps的演进与落地价值

4.运维大数据平台落地构想

5.浅谈企业如何建设云管理平台（CMP）