一次CPU平稳的隐藏挖矿木马应急响应

概述

2023年6月25日通过入侵检测防御系统（IPS）监测发现XX服务器系统大量请求矿池域名告警。

成果

2023年6月25日，应急响应xx服务器出现挖矿木马安全事件。经排查，受害服务器存在挖矿进程smss.exe、恶意进程taskhost.exe 等，还有attribadd.bat等恶意文件及相关恶意服务项，可开机自启实现持久化。分析发现，恶意文件taskhost.exe调用config.ini隐藏挖矿与恶意进程，通过增减文件属性躲避杀毒软件，利用Kernel驱动调整CPU设置隐藏自身，还用svchost.exe将恶意文件封装为服务实现开机自启。这些恶意行为让样本能长期驻留系统挖矿，降低被发现和清除几率。受害服务器2022年1月29日创建恶意文件，虽经杀毒软件检测未发现异常而未进一步处理，但判定当日已感染。因现有系统日志时间为2023年5月3日至6月26日且无异常，无法确定攻击源IP。该服务器账号是弱口令，未打永恒之蓝补丁，办公终端区与服务器区防火墙未设安全策略，推测此次安全事件是从已感染设备横向传播所致。

应急过程

对受害服务器CPU使用率进行排查，未发现CPU使用率过高情况

通过排查进程时发现可疑进程smss.exe、taskhost.exe、svchost.exe，对应文件路径为C:\Windows\Fonts\system32\smss.exe、C:\Windows\Fonts\system32\taskhost.exe、C:\Windows\Fonts\system32\svchost.exe

对受害服务器端口连接进行排查，发现受害服务器与可疑IP 113.214.2.XX建立连接，对应进程为smss.exe，与上述可疑进程一致

随即对可疑IP 113.214.2.196威胁情报检索，该IP归属地为中国浙江省衢州市，标签为公共矿池地址，确认对应进程smss.exe为挖矿进程

对受害服务器服务进行排查，发现可疑服务Network Connected，对应文件执行路径为C:\Windows\Fonts\system32\svchost.exe

通过上述进程排查，发现可疑文件taskhost.exe