浅谈：安全狗解读explore一键挖矿病毒

发布时间：2021-10-21 12:44:53 阅读：次来源：伺服阀厂家

近期安全狗海青安全研究实验室捕获了一个新的挖矿木马样本,目前网络上还未见到关于它的分析。与以往的木马相比,这次捕获的样本有了不小的“进化”:手段更加隐蔽,清除更加困难。我们对它的各项特点进行了分析,希望给行业内带来针对此类木马的新的认识,进而发掘更有效的防护措施。详细内容可以关注公众号“安全狗”了解，这里只是摘取部分重要内容。

木马特点

1.纯powershell编写挖矿前置脚本,不是像以前那种使用批处理等简单挖矿了,使用一系列持久化机制,保证自身挖矿功能;

2.探测防火墙,探测虚拟机,探测反木马软件,进行对应的行为;

3.修改防火墙及反木马软件配置及策略,避免一些防护软件扫描,以及防火墙将挖矿链接阻断;

4.缓存认证密码,可选增加用户等机制;

5.使用代理中转连接,每个肉鸡都是代理服务器,增加了追踪溯源难度;

6.使用更新维护机制,若不清除干净,会常常复发;

7.系统隐藏目录存放文件,且很难清除;

8.清除竞争对手,保证自己利益最大化;

9.使用涉及各方面技术较多。

处置方案

1、进程清理

清理转发DIN标准沉头垫圈资料规则:

Powershell运行以下命令

Start-Process PowerShell.exe -ArgumentList(-c &{netsh interface portproxy delete v4tov4 listenport=757;netsh interface portproxy delete v4tov4 listenport=703;pause}) -Verb runas

清理带有\System32\drivers\WmiPrvSE.ps1文件路径的进程(可能已经退出)

2、注册表清理

病毒配置:\HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\DriversPath

防火墙配置清除

检查防火墙配置

HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\

将锲型方垫圈资料防火墙策略配置修改为正常状态

修改

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential 为0

为0

3、文件清理

删除目录及文件

C:\Windows\Fonts\arial

C:\Windows\Fonts\Logs

C:\Windows\Fonts\temp

C:\Windows\Fonts\ttf

c:\windows\SoftwareDistribution\config.xml

c:\windows\system32\drivers\en-US\GpCheck.ps1

c:\windows\System32\drivers\WmiPrvSE.ps1

C:\Windows\System32\drivers\etc\services

C:\Windows\System32\drivers\etc\protocol

C:\Windows\System32\drivers\etc\networks

C:\Windows\System32\drivers\etc\lmhosts.sam

C:\Windows\System32\drivers\etc\hosts

若为域则要清除\\$domain\sysvol\$domain\Policies\及其子目录下的explorer.exe

正常情况下文件资源管理器是看不到logs目录的,而且显示了隐藏文件夹(win10和winserver2008下)也看不到,但可以在cmd或者powershell可以探测到

使用PCHUNTER强行删除,或者进入安全模式下删除,或者使用强力的杀毒软件对指定目录进行清除。

4、服务清理

服务名cspsvc,显示名为Cryptographic Service Providers。

5、任务计划清理

任务计划GpCheck

6、批量排查

Nmap批量扫描999端口

账户adm,密码14370

7.主机病毒木马检测