最近,南京某技术学院发出网络告警,聚铭网络安全工程师登录到校内"态势感知+流量分析"平台金色算力云,发现了54台可能中了挖矿病毒的主机。由于校内安装的某免费恶意软件检测工具无法有效地检查到病毒,因此这些病毒一直未被处理,对学校网络造成了严重的损害。
随后,安全工程师通过登录聚铭流量设备进行检测,确认校内存在挖矿行为的主机。
图1为挖矿事件。
安全工程师首先登录到回连次数最多的主机上查看异常连接,利用聚铭网络终端取证工具发现该服务器时刻向外请求53端口。
图2显示主机向矿池发起请求。
根据取证工具的记录,可以初步判断该台主机的行为属于挖矿木马的请求回连行为。病毒程序的路径是C:\windows\System32\svchost.exe(病毒伪装成系统的内核进程文件名,以逃避检测程序的查杀)。
在登录其他受影响主机时,安全工程师发现这些主机使用的是Windows7系统,安装的是某免费恶意软件检测工具,并且开放了高危端口135、139、445。
排查过程中,通过命令可以看到主机同样与可疑IP进行连接,并对其发起大量连接请求。
图3显示另一台主机向矿池发起请求。
从工具上可以看到,发起请求连接的进程是dllhostex.exe,文件路径是C:\windows\system32。将文件拷贝到云查杀工具进行查杀后,发现该进程属于CoinMiner挖矿家族程序。
然而,通过网络连接还发现有进程向同网段的其他主机发起了大量类似扫描的请求。
图5显示遍历同网段的445端口。
综上,安全工程师发现该台主机存在两个病毒:1.挖矿程序,2.永恒之蓝横向传播程序。根据分析,挖矿程序利用dllhostex.exe进行挖矿,然后利用spoolsv.exe控制同网段其他主机,横向传播挖矿病毒。
针对问题,安全工程师使用第三方杀毒软件进行查杀后,再使用终端取证小工具检查失陷主机。
图6显示没有可疑的恶意IP连接。
可以看到,在使用挖矿专杀工具进行查杀后,已经没有恶意连接。
总结分析:本次安全事件主要原因是校内主机使用的是某免费恶意软件检测工具,无法有效防护一些隐蔽的木马病毒(如挖矿和蠕虫),导致这些顽固病毒一直存在校内主机上。此外,校内主机使用的都是低版本的Windows 7,并且开启了高危端口135、139、445,使黑客可以利用永恒之蓝漏洞在网络中的主机间进行横向传播。
如果不及时排查校内存在哪些高风险资产(如漏洞主机和高危web服务),可能会导致校内所有主机都受到挖矿病毒感染,影响学生正常上网和校外人士的参观浏览。
处置建议: 1.确定受影响的资产,并对相关恶意IP和域名设置访问限制。 2.及时对受影响的资产和与其连接的其他资产进行可疑进程检查,查杀木马病毒。可查找文件名中包含C:\windows\system32\dllhostex.exe和C:\windows\system32\secureboottheme\spoolsv.exe的文件。 3.关闭不必要的端口或服务,开启防火墙,及时检查修复系统和应用程序的漏洞,包括KB4012598、KB4012212、KB4013429、KB401318、KB4012606。 4.定期使用聚铭网络脆弱性扫描设备对校内网络资产进行漏洞检测,并及时修补漏洞。
亲爱的用户:平台将于2022年9月23日13:50(GMT+8)对以太坊网络(ERC20)钱包进行维护,暂停以太坊网络(ERC20)的充值、提现业务,交易不受影响。维护预计需要 3 小时,平台将在钱包维护完成后,重新开放...
MakerDAO 是以太坊上的一个去中心化货币市场,用户可以在上面借贷包括 ETH 在内的资产。根据 DeFiLlama 上 5 月 31 日的数据,MakerDAO 每年要花费 2766 万美元来维持协议的运行。这笔资...
币安同胞们,币安将于2024年3月25日07:00(UTC)对Tron网络(TRX)进行钱包维护。请注意:钱包维护期间,Tron网络(TRX)上的数字资产/货币交易不会受到影响。波场网络(TRX)将于2024年3月25日...
Blockstream 的开采设备总容积为 300 万千瓦,也曾很多选购甚么的BTC矿机。2021 年1 月28 日,Blockstream 公布已从比特微(MicroBT)选购了使用价值2500 万美金的BTC甚么矿机...