記一次挖礦病毒的應急響應

前言

人往往就是這個樣子，一個人的時候是一種樣子，好多人聚在一起的時候就會完全變成另外一種樣子。-------《白鹿原》陳忠實

start

某單位接到上級單位通報存在挖礦病毒，通報的地址0.58是一臺路由器的地址，拓撲情況是該單位出口是一臺路由器，路由器的映象介面接到上級單位的感知裝置上，出口地址肯定是做了NAT轉換，所上級單位下發的通告中受害IP只是一臺路由器。安全裝置上未能發現有效資訊，只能人工去分析。通報中存在四個危險礦池域名：

channel.vaincues.com

doc.lienous.cf

fillmore.trovuier.com

castaic.vaincues.com

First

思路真的很重要，既然通報是挖礦病毒，我們首先是要清楚挖礦病毒的行為特徵。

挖礦病毒下載到本地後，利用被入侵計算機的算力，執行特定演算法，挖掘加密數字貨幣，與礦池伺服器通訊後得到相應的比特幣。所以會導致CPU/GPU使用率較高，系統卡頓，部分服務無法正常執行，這也是挖礦木馬最明顯的特點，在內網的挖礦木馬會一直請求與外網礦池伺服器請求連線。（本次應急響應的網路環境即為只連線上下級單位的ZW內網，無外網環境）

淦

考慮以上，因為上級單位的感知裝置是在出口路由器之外的，既然檢測到了挖礦病毒，那異常的流量行為肯定過內網核心交換機，來到機房，wireshark接內網核心交換機映象流量口抓包就沒錯，通報顯示有域名地址，wireshark抓的包過濾DNS，過濾命令

dns.qry.name == "castaic.vaincues.com"

DNS是實現域名和IP地址相互對映的一個分散式資料庫，域名和IP地址相互轉換的過程叫做域名解析，使用者透過容易記憶的域名訪問網路資源。DNS域名解析伺服器，承擔域名到IP地址解析或者IP地址到域名的解析工作。DNS協議執行在UDP協議之上，使用53埠號

2.6是DNS伺服器地址，因為在內網，DNS伺服器上沒有與威脅域名對應的IP地址，所以DNS伺服器的地址也會有解析記錄，14.87是上級領導的機器，不在客戶這裡，但是也告知客戶了，基本可以確定客戶現場的兩臺機器，171.161，171.164，找客戶相關人員看這是哪間辦公室的機器。

找到機器後，發現是兩臺伺服器，CPU，頻寬佔比都不高，因為挖礦活動還沒開始，木馬只是一直向公網危險域名請求連結，在純內網哈哈哈所以就請求不到。伺服器上安裝了某絨，殺了一遍沒有反應，上某0，直接查殺出來三個高危，所以在應急響應的時候，最好要多準備幾個AV查殺，一般常見的蠕蟲，勒索，挖礦木馬不會像APT那樣做隱匿或者免殺，多換幾個AV基本上一殺一個準。

因為在內網環境，詢問該兩臺伺服器的使用人員，經常存在插拔外網的移動儲存裝置也有在內網機器上插拔的現象，應該是透過該途徑下傳染進來的，所以在使用過程中應該交叉環境下的移動儲存裝置的使用

重新調整下wireshark過濾器，tcp.port == 445 || udp.port == 445，檢視一下高危445埠有無異常，意外收穫，發現171.222這臺機器在一直請求公網，覺得有問題，去機器上看下。

發現是一臺控制大屏顯示的電腦，伊拉克戰損成色，躲在角落裡面，開機都賊卡，cmd下netstat -ano檢視下當前連線，確實是在請求公網地址。

工作管理員，看一下程式，mssecsvr.exe和mssecsvc.exe是wanna cry的勒索病毒

這機器真的放這裡好久了，病毒檔案顯示18年的（照片上有隻蚊子不要介意嘻嘻嘻）

上殺軟發現好多高危。

因為這是一臺控制顯示大屏的內網機器，瞭解到此部分工作外包給數字媒體公司來完成，因為需要電子大屏需要顯示一些內容，電腦本身存在的驅動程式也有限，所以在當時該機器上安裝了低版本的驅動人生，低版本的驅動人生系列軟體會透過升級通道進行下發木馬，並利用永恆之藍漏洞擴散傳播。經過第一次查殺後，還有病毒反覆的現象，將驅動人生解除安裝後，惡意木馬的告警現象消失。詳情見連結：https://guanjia.qq.com/news/n3/2473.html。也就此建議避免安全性未知的移動裝置（u盤）在終端裝置上的插拔，避免安裝安全性未知的軟體，未使用的老舊裝置，或者躲在角落，日常巡檢涉及不到的裝置及時撤出內網

Thanks

感謝此次應急響應中鄧總，殷少，葉神思路的幫助和支援，學習到了針對應急響應的一些思路，還是要多經歷，多學習