挖矿病毒应急响应处置手册

挖矿病毒应急响应处置手册

0x00 概述

通常来说，当我们的服务器或PC资源(CPU)使用率接近或超过100%，并持续高居不下导致服务器或PC操作延缓，我们就可以判定被挖矿。

常见挖矿其它特征如下：

• 服务器或PC访问过不受信任的地址，这些地址包括：主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序，而不受信任的来源主要是：第三方情报结构，企业内部历史数据沉淀。

• 服务器或PC新增异常或恶意文件、进程或服务，并且大部分异常文件保存在服务器或PC的TMP目录中。

• 服务器或PC的定时任务发生变更。

0x01 了解基本情况

1.1 如何发现

挖矿木马显著的行为特征就是极大的占用CPU及GPU和硬盘资源主要包括：高CPU和GPU、硬盘使用率、响应速度慢、崩溃或频繁重新启动、系统过热、异常网络活动（例如，连接挖矿相关的网站或IP地址）。其次是在网络流量中，挖矿木马通信过程采用专门的通信协议，因此存在一定的网络通信特征，因为要连接矿池，网络特征较多的都是TCP。

1.1.1 异常外联

• 安全设备告警
• 流量监控设备
• 工作人员人工发现
• …

事件发生时的状况或安全设备告警等，能帮助应急处置人员快速分析确定事件类型，方便前期准备。

1.1.2 主机异常

• CPU、GPU占用过高
• 主机温度异常
• 其他异常

可获取CPU占用过高进程信息

1.2 事件的时间节点

• 出现事件时间
• 发现事件时间
• 处置事件时间

了解事件发生时间节点：出现事件时间、发现事件时间、处置事件时间，确定这三个时间节点后，可通过时间相关性推算挖矿病毒产生大致时间，有助于后续挖矿病毒发现及清理。

1.3 临时处置情况

了解挖矿病毒临时处置的情况，方便后期的排查

1.4 网络拓扑情况

获取网络构架，网络构架一般来讲是要拓补图，详细的拓扑图可以协助还原攻击流程时，准确定位网络连接方向。

0x02 判断是否属于挖矿

根据了解到的基本信息来判断和确认是否挖矿事件

2.1 属于挖矿

2.1.1 根据告警和流量信息初步判断挖矿类型

在不影响主业务运行的情况下，拔掉受害主机网线，并且切断网络连接可使挖矿现场尽量保持完整，有助于接下来的溯源工作顺利开展。

可以先根据告警和流量信息初步判断挖矿类型，在互联网收集相关情报，若有相关分析文章可提高事件处置效率。

2.1.2 windows

2.1.2.1 信息收集

• CPU占用

打开 cmd 窗口，输入 resmon 命令，通过资源监视器，找出CPU占用过高的程序，找到PID和进程名。

• 网络连接

1、使用netstat -ano 命令查看目前的网络连接，定位可疑的 ESTABLISHED

2、根据 netstat 命令定位出的 PID 编号，再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

netstat -ano
tasklist | findstr "PID"

• 端口

查看Windows服务所对应的端口：%systemroot%/system32/drivers/etc/services

• 可疑用户

【计算机管理】->【本地用户和组】->【用户】选项，可查看隐藏账户，名称以$结尾的为隐藏账户。

打开 cmd 窗口，输入 lusrmgr.msc 命令，查看是否有新增或可疑的账号。

也可通过D盾查看系统中是否存在影子账户。

• 计划任务

a、打开控制面板->任务计划，查看计划任务属性，排查异常任务计划。

b、打开 cmd 窗口，然后输入 at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

• 进程信息

a、Win+R，输入 msinfo32 命令，依次点击 “软件环境 – 正在运行任务” 可以查看到进程的详细信息。

b、通过安全分析工具进行排查。

• 启动项

a、开始->所有程序->启动，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。
b、Win+R，输入 msconfig，查看是否存在命名