应急响应-挖矿病毒 挖矿病毒来源随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。它可以利用个人电脑或服务器进行挖矿，具体现象为CPU拉满，网络阻塞，服务器卡顿等。挖矿病毒大致植入流程入口点丢失权限：口令爆破、Web后门等攻击者通过上传执行程序或脚本运行程序或脚本（有些会清理其他同行程序）下载的挖掘程序，并写入权限维持技术排查方向通过CPU占用率来筛选出进程通过外部网络连接筛选出恶意地址排查流程分析定性通过占用大量CPU的进程找到恶意文件上传威胁情报平台进行解析分析通过网络找到外链，将URL或者IP上传到威胁情报平台进行解析分析应急处置排查权限维持手段：启动项、计划任务、服务等排查入口攻击点：口令爆破、Web丢失权限等及时隔离主机，阻断异常网络通信：封禁IP，开启防火墙，指定防火墙策略来限制传输协议等Windows 2022挖矿主机分析参考文章与环境应急响应靶机练习-Web5 WindowsServer挖矿案例记录分析定性首先查看CPU占用率，看到有一个进程占用近乎百分百的CPU查看对应程序所在目录，发现一些可疑文件查看从中得到一个域名地址接着从网络连接中提取IP地址将exe和url、IP地址放到威胁情报平台分析可以看到微步已经标记URL以及exe文件均为挖矿恶意网址和程序，到这时候我们就基本定性它是挖矿事件了应急处置排查权限维持手段接下来我们要对这个挖矿程序进行应急处置，排查他是否存在一些权限维持的手段计划任务发现就一个命名较为可疑的程序，而且他的运行程序还是个bat，我们查看一下对应路径下的文件所以删除此定时任务，我们继续排查启动项有时候定时任务删除之后，我们还发现挖矿程序还在运行，这时候我们就可以考虑是否有一个启动项服务一直在自动运行通过命令msconfig发现启动项文件启动恶意挖矿文件c3pool经排查，其他的权限维持就没有了排查入口点梳理本机资产查看Windows日志因为没有web服务，故而我们现在只需要查看本地的Windows日志即可通过eventvwr.msc查看Windows安全日志，重点看安全日志根据恶意文件的修改日期，我们可以快速定位到事件发生时间段可以看到这个日志中展示了，在同一时间内，出现了大量的登录请求，且大部分都是失败的，仅有一个成功。得出结论通过本机开放端口和Windows日志分析，基本可以确定是3389端口开放造成的口令爆破。（因为本机并未加入域环境，故而445端口的横向移动不太可能）。隔离主机通过防火墙封禁对应的IP地址，同时修改主机管理员账号密码，增强密码强度，限制3389端口的访问，防止再次通过这个入口拿到权限。同时删除所有的挖矿程序以及启动项、计划任务，最后重启测试一下是否还会出现挖矿病毒。Linux主机挖矿分析分析定性原本没有执行挖矿程序的状态上传威胁情报平台分析参考文章这边仅仅做挖矿病毒在Linux上的展示，具体的实战靶场参考下面的文章，因为环境问题无法复现Linux靶机应急响应-页面篡改、挖矿查杀