Powershell 挖礦病毒處理與防範

最近，一種利用Powershell的挖礦病毒在企業網絡中頻繁爆發，該病毒其利用了WMI+Powershell方式進行無文件***，並長駐內存進行挖礦。

Powershell的挖礦病毒具有無文件***的高級威脅外，還具備兩種橫向傳染機制，分別爲WMIExec自動化爆破和MS17-010「永恆之藍」漏洞***，極易在企業網的局域網內迅速傳播。

在過去的一年裏，至少處理了8起有關Powershell挖礦病毒。今天咱們就來談一談該病毒的處理方式和防範措施。

經過wbemtest打開WMI測試器，鏈接到：root\Default時會發現Powershell挖礦病毒已經幫您新建了一個***類

以前的名稱叫：Win32_Services，後面有一些變種病毒建立的***類更改了名稱爲：System_Anti_Virus_Core,可是內容仍是同樣的類型。

雙擊***類後會發現，通過Base 64加密的***代碼；

Base 64解碼器

http://www.heminjie.com/tool/base64.php

Powershell.exe挖礦病毒還會在本地安全策略中建立一條阻止鏈接本服務器445號端口的IPSec策略。

處理Powershell挖礦病毒

目前已經有一些防病毒廠商對Powershell挖礦病毒進行查殺，建議經過防病毒進行系統性的查殺，若是尚未防病毒的企業，或者您企業中的防病毒目前還沒法查殺相似這種挖礦病毒的時候，也能夠經過手動方式進行清理。詳細步驟以下：

1.結束Powershell.exe進程

因爲服務器中了挖礦病毒後，整理反應會特別的慢，因此建議經過taskkill命令暫時將服務器上的Powershell.exe結束後再行處理（結束Powershell.exe進程後，Powershell.exe進程會在1-2個小時內自行啓動）。

 2.刪除***類

經過wbemtest打開WMI檢查器

鏈接到默認的命名空間

中了挖礦病毒的機器會多出個以下截圖的類

或者相似這種類

3.刪除本地安全策略netbc的IPSec策略

打開本地安全策略，而後定位到安全設置à應用程序控制策略àIP安全策略（默認是空的）

根據以前的處理結果，對服務器進行以下幾步操做後，Powershell挖礦病毒基本沒有再復發。

安全建議 

1.系統層面

 

服務器端：

• 創建服務器投產標準化規範，安全基線(如：服務器上線以前，安全策略如何設置、補丁要求、防病毒、運維管理要求如何配置等)
  

• 定義服務器運維規範，安全要求，以及安全檢查機制
  

• 創建服務器配置管理機制，首先針對操做系統進行配置管理
  

客戶端：

• 創建客戶端系統准入機制，如沒有進行補丁更新、沒有安裝防病毒的客戶端沒法訪問服務器區網絡
  

• 定義客戶端補丁更新策略、防病毒更新策略等安全要求
  

• 創建客戶端統一的桌管平臺，讓客戶端的機器可以統一的進行管理
  

2. 運維層面

• 增強服務器監控預警機制
  

• 增強用戶安全意識教育
  

• 創建統一日誌管理平臺，可收集、存儲、分析服務器系統及網絡設備的相關日誌
  

• 創建服務器統一運維管理平臺，可以快速批量的管理服務器

做者：王吉