溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
最近,一種利用Powershell的挖礦病毒在企業網絡中頻繁爆發,該病毒其利用了WMI+Powershell方式進行無文件***,并長駐內存進行挖礦。
Powershell的挖礦病毒具備無文件***的高級威脅外,還具有兩種橫向傳染機制,分別為WMIExec自動化爆破和MS17-010“永恒之藍”漏洞***,極易在企業網的局域網內迅速傳播。
在過去的一年里,至少處理了8起有關Powershell挖礦病毒。今天我們就來談一談該病毒的處理方式和防范措施。
通過wbemtest打開WMI測試器,連接到:root\Default時會發現Powershell挖礦病毒已經幫您新建了一個***類
之前的名稱叫:Win32_Services,后面有一些變種病毒創建的***類更改了名稱為:System_Anti_Virus_Core,但是內容還是一樣的類型。
雙擊***類后會發現,經過Base 64加密的***代碼;
Base 64解碼器
http://www.heminjie.com/tool/base64.php
Powershell.exe挖礦病毒還會在本地安全策略中創建一條阻止連接本服務器445號端口的IPSec策略。
目前已經有一些防病毒廠商對Powershell挖礦病毒進行查殺,建議通過防病毒進行系統性的查殺,如果還沒有防病毒的企業,或者您企業中的防病毒目前還無法查殺類似這種挖礦病毒的時候,也可以通過手動方式進行清理。詳細步驟如下:
由于服務器中了挖礦病毒后,整理反應會特別的慢,所以建議通過taskkill命令暫時將服務器上的Powershell.exe結束后再行處理(結束Powershell.exe進程后,Powershell.exe進程會在1-2個小時內自行啟動)。
通過wbemtest打開WMI檢查器
連接到默認的命名空間
中了挖礦病毒的機器會多出個如下截圖的類
或者類似這種類
打開本地安全策略,然后定位到安全設置à應用程序控制策略àIP安全策略(默認是空的)
根據之前的處理結果,對服務器進行如下幾步操作后,Powershell挖礦病毒基本沒有再復發。
?
服務器端:
建立服務器投產標準化規范,安全基線(如:服務器上線之前,安全策略如何設置、補丁要求、防病毒、運維管理要求如何配置等)
定義服務器運維規范,安全要求,以及安全檢查機制
建立服務器配置管理機制,首先針對操作系統進行配置管理
客戶端:
建立客戶端系統準入機制,如沒有進行補丁更新、沒有安裝防病毒的客戶端無法訪問服務器區網絡
定義客戶端補丁更新策略、防病毒更新策略等安全要求
建立客戶端統一的桌管平臺,讓客戶端的機器能夠統一的進行管理
加強服務器監控預警機制
加強用戶安全意識教育
建立統一日志管理平臺,可收集、存儲、分析服務器系統及網絡設備的相關日志
建立服務器統一運維管理平臺,能夠快速批量的管理服務器
作者:王吉
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
