Powershell 挖礦病毒處理與防範

最近，一種利用Powershell的挖礦病毒在企業網絡中頻繁爆發，該病毒其利用了WMI+Powershell方式進行無文件攻擊，並長駐內存進行挖礦。

 

Powershell的挖礦病毒具有無文件攻擊的高級威脅外，還具備兩種橫向傳染機制，分別爲WMIExec自動化爆破和MS17-010「永恆之藍」漏洞攻擊，極易在企業網的局域網內迅速傳播。

 

在過去的一年裏，至少處理了8起有關Powershell挖礦病毒。今天咱們就來談一談該病毒的處理方式和防範措施。

 

某一天，當你檢查服務器，發現不少服務器的CPU使用率特別高，且使用進程爲Powershell.exe時，那麼基本能夠斷定，您的服務器中了Powershell挖礦病毒了。

 

不過根據已經中過Powershell挖礦病毒企業觀察到的狀況，Powershell挖礦病毒除了耗盡服務器的CPU之外，也沒有什麼其餘破壞性的行爲。

 

 

中Powershell挖礦病毒後的現象

 

當服務器感染了Powershell挖礦病毒後，經過交互式登陸操做系統，利用ProcessExplorer.exe進程查看器進程，會發現Powershell.exe進程的CPU使用率很是高。

經過wbemtest打開WMI測試器，鏈接到：root\Default時會發現Powershell挖礦病毒已經幫您新建了一個攻擊類

 

以前的名稱叫：Win32_Services，後面有一些變種病毒建立的攻擊類更改了名稱爲：System_Anti_Virus_Core,可是內容仍是同樣的類型。

 

雙擊攻擊類後會發現，通過Base 64加密的攻擊代碼；

Base 64解碼器

http://www.heminjie.com/tool/base64.php

 

Powershell.exe挖礦病毒還會在本地安全策略中建立一條阻止鏈接本服務器445號端口的IPSec策略。

 

處理Powershell挖礦病毒

 

目前已經有一些防病毒廠商對Powershell挖礦病毒進行查殺，建議經過防病毒進行系統性的查殺，若是尚未防病毒的企業，或者您企業中的防病毒目前還沒法查殺相似這種挖礦病毒的時候，也能夠經過手動方式進行清理。詳細步驟以下：

 

1.結束Powershell.exe進程

因爲服務器中了挖礦病毒後，整理反應會特別的慢，因此建議經過taskkill命令暫時將服務器上的Powershell.exe結束後再行處理（結束Powershell.exe進程後，Powershell.exe進程會在1-2個小時內自行啓動）。

 

 2.刪除攻擊類

 

經過wbemtest打開WMI檢查器

 

鏈接到默認的命名空間

 

中了挖礦病毒的機器會多出個以下截圖的類

或者相似這種類

 

3.刪除本地安全策略netbc的IPSec策略

 

打開本地安全策略，而後定位到安全設置à應用程序控制策略àIP安全策略（默認是空的）

根據以前的處理結果，對服務器進行以下幾步操做後，Powershell挖礦病毒基本沒有再復發。

 

安全建議 

 

1.系統層面

 服務器端：

• 創建服務器投產標準化規範，安全基線(如：服務器上線以前，安全策略如何設置、補丁要求、防病毒、運維管理要求如何配置等)

• 定義服務器運維規範，安全要求，以及安全檢查機制

• 創建服務器配置管理機制，首先針對操做系統進行配置管理

​

客戶端：

• 創建客戶端系統准入機制，如沒有進行補丁更新、沒有安裝防病毒的客戶端沒法訪問服務器區網絡

• 定義客戶端補丁更新策略、防病毒更新策略等安全要求

• 創建客戶端統一的桌管平臺，讓客戶端的機器可以統一的進行管理

 

2. 運維層面

• 增強服務器監控預警機制

• 增強用戶安全意識教育

• 創建統一日誌管理平臺，可收集、存儲、分析服務器系統及網絡設備的相關日誌；

• 創建服務器統一運維管理平臺，可以快速批量的管理服務器；

 

做者：王吉

---

推薦優質文章

1.嘉爲藍鯨CMP：跳出雲管看雲管

2.AD域整合的注意事項

3.【乾貨】DevOps的演進與落地價值

4.運維大數據平臺落地構想

5.淺談企業如何建設雲管理平臺（CMP）