2024 年 7 月 22 日,接用户反馈,局域网内一些Windows 终端设备和 Server在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查明原因,确认影响范围,删除相关病毒文件并找出感染途径,梳理时间链,从而避免下次出现相同问题。
1.问题确认与感染范围确定
- 响应用户反馈:接到用户反馈后,迅速响应,收集设备运行情况和卡顿现象的详细信息。
- 手动收集IOC:杀软并没有报警,通过工具收集出矿池 IP,在线情报中心分析,确认感染挖矿病毒。
- 资源占用分析:使用 Process Explorer 监控各终端设备的 CPU、内存、硬盘和网络的占用率,识别资源占用异常的设备。
CPU占用率
通过powershell命令分析
列出当前CPU占用前五的进程
Get-Process | Sort-Object -Property CPU -Descending | Select-Object -First 5 ProcessName, Id, CPU
内存占用率
通过powershell分析
列出内存占用率排名前五的进程
Get-Process | Sort-Object -Property WorkingSet -Descending | Select-Object -Property Id, ProcessName, WorkingSet -First 5
网络占用率
通过 process Hacker 分析
标题栏右键,选择choose columns...
根据实际需要,找到添加显示的栏,这⾥以 Network total rate 为例
按照 Network total rate 降序排列,就可以找到流量占⽤较⼤的进程 pid
2.病毒分析与处理
- 定位可疑进程:通过 Process Explorer 定位可疑进程及其进程树,分析异常进程的启动时间和关联进程。
通过CMD的WMIC命令分析
通过PID定位出恶意程序位置和执行的命令
wmic process where ProcessId=<恶意进程的PID> get Name, ExecutablePath,CommandLine /format:list
- 注册表检查:检查注册表中是否存在与可疑进程相关的启动项和配置,记录异常条目。
WIn+R 调出运行,输入 regedit 打开注册表。编辑-查找,输入要查找的恶意程序,查看是否有残留
- 恶意文件采样:采样可疑进程的文件,通过在线沙箱进行监测,确认其为挖矿病毒 xmrig。
- 时间链分析:使用脚本详细分析进程启动和可以文件修改执行的时间关联,建立完整的时间链,确保没有遗漏感染点。
- 结束并删除进程:与用户沟通后,终止恶意进程,彻底删除恶意程序 xmrig,在 host 文件中修改了恶意域名与 DNS的解析关系,避免再次中招。并进行全网扫描,确保所有受感染设备得到清理。
3.感染途径分析与防范措施
通过分析用户最近执行程序,结合 everything、tmp 文件夹、LastActivityView 等手段,查明病毒是用户在网上下载文件时招致的感染并在局域网内传播。提出了改进网络安全的具体措施,定期更新防病毒软件和增强员工安全意识培训,协助客户实施防范措施。
使用工具
- 微步在线情报社区、VenusEye 威胁情报中心、Process Explorer、Process Hacker、脚本、everything、system informer