Powershell 挖矿病毒处理与防范


Powershell采矿病毒的治疗和预防

最近,使用Powershell的采矿病毒经常在企业网络中爆炸。该病毒使用WMI + Powershell进行无文件攻击,并驻留在内存中进行挖掘。

Powershell的采矿病毒具有先进的威胁,没有文件攻击。它还有两种水平感染机制,即WMIExec自动爆破和MS17-010“永恒蓝”漏洞攻击,易于在企业网局域网中快速传播。

在过去的一年中,至少有8种Powershell采矿病毒得到了处理。今天我们将讨论病毒的处理方式和预防措施。

有一天,当您检查服务器并发现许多服务器具有特别高的CPU使用率且该过程是Powershell.exe时,您基本上可以确定您的服务器具有Powershell挖掘病毒。

然而,根据Powershell采矿病毒公司所观察到的情况,Powershell采矿病毒除了耗尽服务器的CPU之外没有其他破坏性行为。

当服务器感染Powershell挖掘病毒时,通过交互式登录操作系统并使用ProcessExplorer.exe进程查看器进程,Powershell.exe进程的CPU使用率非常高。

通过wbemtest打开WMI测试器,连接到:rootDefault,你会发现Powershell挖掘病毒为你创建了一个新的攻击类

以前的名称是:Win32_Services,并且该变体创建的一些攻击病毒已将名称更改为:System_Anti_Virus_Core,但内容仍为相同类型。

双击攻击类,您将找到Base 64加密的攻击代码;

Base 64解码器

阻止连接到此服务器的端口445的IPSec策略。

目前,一些反病毒厂商已经发现并杀死了Powershell采矿病毒。建议通过反病毒系统地杀死和杀死。如果没有反病毒企业,或者你的企业中的反病毒仍然无法杀死这样一个类似的当挖掘病毒时,它也可以手动清理。具体步骤如下:

1.结束Powershell.exe进程

在服务器中挖掘病毒后,整理反应会特别慢,因此建议在taskkill命令后临时终止服务器上的Powershell.exe(在Powershell.exe进程完成后,Powershell.exe进程将在1小时内自己启动)。

2.删除攻击等级

通过wbemtest

打开WMI检查程序

连接到默认命名空间

挖掘病毒的机器将有类似下面的截图

或类似的东西

3.删除本地安全策略netbc的IPSec策略

打开本地安全策略并导航到安全设置à应用程序控制策略àIP安全策略(默认为空)

根据之前的处理结果,在服务器上执行以下步骤后,Powershell挖掘病毒不再发生。

1.系统级

服务器端:

建立服务器生产和安全基线的标准化规范(例如在服务器上线之前如何设置安全策略,补丁要求,防病毒以及操作和维护管理要求)

定义服务器操作和维护规范,安全要求和安全检查机制

建立服务器配置管理机制,首先配置操作系统的管理

客户端:

建立客户端系统访问机制。如果没有修补程序更新,则未安装防病毒软件的客户端无法访问服务器区域网络。

定义安全要求,例如客户端修补程序更新策略和防病毒更新策略

为客户建立统一的桌面管理平台,实现客户端机器的统一管理

2.操作和维护水平

加强服务器监控和预警机制

加强用户安全意识教育

建立统一的日志管理平台,收集,存储和分析服务器系统和网络设备的相关日志;

建立服务器统一运维管理平台,可以快速批量管理服务器;

作者:Ji

1.加威蓝鲸CMP:跳出云管看云管

2. AD域集成注意事项

3. DevOps的演变和着陆值

4.运营和维护大数据平台着陆的构想

18:00

来源:嘉伟科技

Powershell采矿病毒的治疗和预防

最近,使用Powershell的采矿病毒在企业网络中频繁爆发。它使用WMI + Powershell攻击没有文件和我的长记忆。

Powershell的采矿病毒不仅具有无文件攻击的高级威胁,而且还有两种水平传输机制,即WMIExec自动爆炸和MS17-010“永恒蓝”漏洞攻击,这些攻击很容易在企业局域网中迅速传播网络。

在过去一年中,至少处理了八起Powershell采矿病毒病例。今天我们将讨论处理病毒的方法和预防措施。

有一天,当您检查服务器并发现许多服务器具有极高的CPU使用率且该过程是Powershell时。 exe,您基本上可以确定Powershell挖掘病毒在您的服务器中。

然而,根据Powershell Mining Virus Enterprises所观察到的,Powershell Mining Virus除了耗尽服务器的CPU之外没有其他破坏性行为。

当服务器感染Powershell Mining Virus时,通过交互式登录操作系统并使用Process Explorer.exe进程查看进程,Powershell.exe进程的CPU使用率非常高。

通过wbemtest打开WMI测试器,连接到:rootDefault,你会发现Powershell挖掘病毒为你创建了一个新的攻击类

以前的名称是:Win32_Services,并且该变体创建的一些攻击病毒已将名称更改为:System_Anti_Virus_Core,但内容仍为相同类型。

双击攻击类,您将找到Base 64加密的攻击代码;

Base 64解码器

阻止连接到此服务器的端口445的IPSec策略。

目前,一些反病毒厂商已经发现并杀死了Powershell采矿病毒。建议通过反病毒系统地杀死和杀死。如果没有反病毒企业,或者你的企业中的反病毒仍然无法杀死这样一个类似的当挖掘病毒时,它也可以手动清理。具体步骤如下:

1.结束Powershell.exe进程

在服务器中挖掘病毒后,整理反应会特别慢,因此建议在taskkill命令后临时终止服务器上的Powershell.exe(在Powershell.exe进程完成后,Powershell.exe进程将在1小时内自己启动)。

2.删除攻击等级

通过wbemtest

打开WMI检查程序

连接到默认命名空间

挖掘病毒的机器将有类似下面的截图

或类似的东西

3.删除本地安全策略netbc的IPSec策略

打开本地安全策略并导航到安全设置à应用程序控制策略àIP安全策略(默认为空)

根据之前的处理结果,在服务器上执行以下步骤后,Powershell挖掘病毒不再发生。

1.系统级

服务器端:

建立服务器生产和安全基线的标准化规范(例如在服务器上线之前如何设置安全策略,补丁要求,防病毒以及操作和维护管理要求)

定义服务器操作和维护规范,安全要求和安全检查机制

建立服务器配置管理机制,首先配置操作系统的管理

客户端:

建立客户端系统访问机制。如果没有修补程序更新,则未安装防病毒软件的客户端无法访问服务器区域网络。

定义安全要求,例如客户端修补程序更新策略和防病毒更新策略

为客户建立统一的桌面管理平台,实现客户端机器的统一管理

2.操作和维护水平

加强服务器监控和预警机制

加强用户安全意识教育

建立统一的日志管理平台,收集,存储和分析服务器系统和网络设备的相关日志;

建立服务器统一运维管理平台,可以快速批量管理服务器;

作者:Ji

1.加威蓝鲸CMP:跳出云管看云管

2. AD域集成注意事项

3. [干货] DevOps进化和着陆值

4.运维大数据平台登陆理念

仅提供信息存储空间服务。

病毒

服务器

防病毒

策略

攻击等级

阅读()