第三章：windows实战篇（挖矿病毒）

第5篇：挖矿病毒（一）

第一例：

0x00 前言

​ 随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高，C盘可使用空间骤降，电脑温度升高，风扇噪声增大等问题。

0x01 应急场景

​ 某天上午重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。

0x02 事件分析

​ 登录网站服务器进行排查，发现多个异常进程： 分析进程参数： wmic process get caption,commandline /value >> tmp.txt TIPS:

在windows下查看某个运行程序（或进程）的命令行参数
使用下面的命令：
wmic process get caption,commandline /value
如果想查询某一个进程的命令行参数，使用下列方式：
wmic process where caption=”svchost.exe” get caption,commandline /value
这样就可以得到进程的可执行文件位置等信息。

访问该链接： Temp目录下发现Carbon、run.bat挖矿程序: 具体技术分析细节详见：

360CERT：利用WebLogic漏洞挖矿事件分析 https://www.anquanke.com/post/id/92223

清除挖矿病毒：关闭异常进程、删除c盘temp目录下挖矿程序 。 临时防护方案

1. 根据实际环境路径，删除WebLogic程序下列war包及目录rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2. 重启WebLogic或系统后，确认以下链接访问是否为404http://x.x.x.x:7001/wls-wsat

0x04 防范措施

​ 新的挖矿攻击展现出了类似蠕虫的行为，并结合了高级攻击技术，以增加对目标服务器感染的成功率。通过利用永恒之蓝（EternalBlue）、web攻击多种漏洞，如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞，Struts2远程命令执行等，导致大量服务器被感染挖矿程序的现象 。总结了几种预防措施：

1、安装安全软件并升级病毒库，定期全盘扫描，保持实时防护
2、及时更新 Windows安全补丁，开启防火墙临时关闭端口
3、及时更新web漏洞补丁，升级web组件

第二例：

0x00 前言

作为一个运维工程师，而非一个专业的病毒分析工程师，遇到了比较复杂的病毒怎么办？别怕，虽然对二进制不熟，但是依靠系统运维的经验，我们可以用自己的方式来解决它。

0x01 感染现象

1、向大量远程IP的445端口发送请求

2、使用各种杀毒软件查杀无果，虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件，但即使删除NerworkDistribution后，每次重启又会再次生成。

连杀软清除不了的病毒，只能手工来吧，个人比较偏好火绒，界面比较简洁，功能也挺好用的，自带的火绒剑是安全分析利器。于是安装了火绒，有了如下分析排查过程。

0x02 事件分析

A、网络链接

通过现象，找到对外发送请求的进程ID：4960

B、进程分析

进一步通过进程ID找到相关联的进程，父进程为1464

找到进程ID为1464的服务项，逐一排查，我们发现服务项RemoteUPnPService存在异常。

C、删除服务

选择可疑服务项，右键属性，停止服务，启动类型：禁止。

停止并禁用服务，再清除NerworkDistribution目录后，重启计算机。异常请求和目录的现象消失。

又排查了几台，现象一致，就是服务项的名称有点变化。

D、病毒清除

挖矿病毒清除过程如下：

1、 停止并禁用可疑的服务项，服务项的名称会变，但描述是不变的，根据描述可快速找到可疑服务项。

​ 可疑服务项描述：Enables a common interface and object model for the Remote UPnP Service to access

​ 删除服务项：Sc delete RemoteUPnPService

2、 删除C:\Windows\NerworkDistribution目录

3、 重启计算机

4、 使用杀毒软件全盘查杀

5、 到微软官方网站下载对应操作系统补丁，下载链接：

https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

0x03 后记

在查询了大量资料后，找到了一篇在2018年2月有关该病毒的报告：

NrsMiner：一个构造精密的挖矿僵尸网络

https://www.freebuf.com/articles/system/162874.html

根据文章提示，这个病毒的构造非常的复杂，主控模块作为服务“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但与目前处理的情况有所不同，该病毒疑似是升级了。

摘自：gitbook_bypass