一次应急响应

事件原因分析

某天客户反馈:服务器疑似被入侵,风扇噪声很大。

根据管理员的描述，推测为有挖矿病毒，勒索病毒，拒绝服务攻击等可能。

事件影响分析

打开任务管理器，查看cpu和内存占用率，发现占用率过大

转到任务管理器中的进程，发现应该名为javs.exe的程序占用大量内存，非常可疑。

右键该应用程序，追踪到它的位置

右键查看应用程序的属性

发现该应用程序的创建时间晚于修改时间，很明显是先做好然后被人上传到主机上的。

直接将文件下载下来，放到微步在线分析平台上分析。确定是恶意文件。

打开javs.exe分析一下，发现它从mine.c3pool.com在下载东西，确定是挖矿病毒。

已经确认挖矿病毒，现在来找一下它的上传路径，使用D盾扫描一下主机开启的端口。

发现3389远程端口开启了，看一下日志有没有暴力破解的可能。

查找4625登陆失败，发现在2022/3/21号出现了大量的登陆失败，而且时间与文件修改时间相差不大，查看2022/3/21日的日志，发现有登陆成功，确认攻击者是通过3389成功进行暴力破解，并且找到了疑似攻击者的IP地址

再顺着日志分析，发现攻击者登陆成功后进行了创建特权用户的行为

进入cmd命令行输入net user查看用户，发现并没有多余的可疑用户

打开注册表进行排查，发现了隐藏用户wxiaoge，应该是一个影子账户

使用D盾进行扫描，果然，是一个克隆了管理员权限的用户。 这时，我们发现刚才关闭的javs.exe程序又开始运行，怀疑攻击者添加了定时任务。打开计算机管理查看任务计划程序，发现javs.exe果然被添加了定时任务。   最后，使用安全软件扫描一下，确认有没有遗漏的排查项。   扫描后，发现还有一个文件映像劫持，打开提示的注册表路径，发现是shift粘连键的注册表项，尝试连续按shift,打开了cmd命令提示符，攻击者把粘连键改为了弹出cmd,留下了后门，这个方法在未登录界面也可以唤出cmd界面，危害性极大。 处置方法 在事件分析中，我们发现了暴力破解，挖矿木马，定时任务，shift粘连键后门等攻击行为，现在逐一进行处理。 暴力破解 修改当前主机的登陆密码，修改为强密码。 封堵进行暴力破解的IP。 删除攻击者创建的克隆账户。 挖矿木马 在确认病毒为挖矿木马后，应第一时间隔离主机，防止感染其他主机。 对挖矿病毒进行根除，推荐使用查杀软件进行根除，若无法清除，重装操作系统。 定时任务 删除定时任务 Shift粘连键 删除粘连键后门 事后处置

一暴力破解 对于暴力破解，最简单的方法就是关闭3389端口，不使用远程桌面服务，但是如果有必须的业务开展需要使用3389端口的话我们可以： 设置密码策略强制用户使用长而复杂的密码。 并强制定期更改密码。 进行锁定策略，输错密码几次就进行一段时间的锁定。   在注册表（HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp）修改远程桌面端口不为3389。   通过防火墙设置特定的IP才允许连接远程桌面。

二、挖矿木马 1.安装安全防护软件并升级至最新病毒和规则库，定期检测计算机、服务器安全状况，定期全盘扫描，保持实时防护。安全检测范围包括但不限于： （1）是否有新增账户、未知进程； （2）定期检查系统安全日志，查看是否存在异常； （3）安全防护软件是否存在异常拦截情况。   三、定时任务 定时查看定时任务，排除可疑的定时启动进程。 四、shift粘连键 如果系统盘为NTFS文件系统，可以将sytem32下的sethc.exe文件设为everyone拒绝访问,或者直接将其删除，最好的方法是在控制面板-辅助功能选项-粘滞键选项，将“使用快捷键”取消即可。 本事件防护和处置建议 一暴力破解 对于暴力破解，最简单的方法就是关闭3389端口，不使用远程桌面服务，但是如果有必须的业务开展需要使用3389端口的话我们可以： 在人的层面 要求工作人员提升密码的长度和复杂度。 在不同的地方要使用不同的密码。 避免使用非机密的个人信息作为密码。 定期修改密码。 在系统层面 设置密码策略强制用户使用长而复杂的密码。 并强制定期更改密码。 进行锁定策略，输错密码几次就进行一段时间的锁定。 在注册表修改远程桌面端口不为3389。 通过防火墙设置特定的IP才允许连接远程桌面。 挖矿木马 1.安装正版操作系统，及时更新操作系统补丁。 2.安装安全防护软件并升级至最新病毒和规则库，定期检测计算机、服务器安全状况，定期全盘扫描，保持实时防护。安全检测范围包括但不限于： （1）是否有新增账户、未知进程； （2）定期检查系统安全日志，查看是否存在异常； （3）安全防护软件是否存在异常拦截情况。 3.多台终端设备不要使用相同的账号和口令，登录口令要有足够长度和复杂性，并定期更换登录口令。 4.从正规渠道下载安装软件，不安装未知来源的第三方软件，不点击未知的链接。 5.不打开来源不明的文档、邮件、邮件附件等。 6.不浏览被安全软件提示为恶意或存在风险的网站。 7.不使用未经杀毒的U盘、移动硬盘等存储设备。 8.开启防火墙，服务器配置访问控制，仅允许授权IP地址访问。 9.不共享使用上网账号，避免使用远程控制类软件，非必要不通过远程手段控制主机。 10.如无法自行处理“挖矿”木马，尝试备份必要文件并重装正版操作系统。 三、定时任务 定时查看定时任务，排除可疑的定时启动进程。 四、shift粘连键 如果系统盘为NTFS文件系统，可以将sytem32下的sethc.exe文件设为everyone拒绝访问,或者直接将其删除，最好的方法是在控制面板-辅助功能选项-粘滞键选项，将“使用快捷键”取消即可。