近期安全狗海青安全研究實(shí)驗(yàn)室捕獲了一個新的挖礦木馬樣本,目前網(wǎng)絡(luò)上還未見到關(guān)于它的分析。與以往的木馬相比,這次捕獲的樣本有了不小的“進(jìn)化”:手段更加隱蔽,清除更加困難。我們對它的各項(xiàng)特點(diǎn)進(jìn)行了分析,希望給行業(yè)內(nèi)帶來針對此類木馬的新的認(rèn)識,進(jìn)而發(fā)掘更有效的防護(hù)措施。詳細(xì)內(nèi)容可以關(guān)注公眾號“安全狗”了解，這里只是摘取部分重要內(nèi)容。

木馬特點(diǎn)

1、進(jìn)程清理

清理轉(zhuǎn)發(fā)規(guī)則:

Powershell運(yùn)行以下命令

Start-Process PowerShell.exe -ArgumentList("-c &{netsh interface portproxy delete v4tov4 listenport=757;netsh interface portproxy delete v4tov4 listenport=703;pause}") -Verb runas

清理帶有\(zhòng)System32\drivers\WmiPrvSE.ps1文件路徑的進(jìn)程(可能已經(jīng)退出)

2、注冊表清理

病毒配置:\HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\DriversPath

防火墻配置清除

檢查防火墻配置

HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\

將防火墻策略配置修改為正常狀態(tài)

修改

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential 為0

為0

3、文件清理

刪除目錄及文件

若為域則要清除\\$domain\sysvol\$domain\Policies\及其子目錄下的explorer.exe

正常情況下文件資源管理器是看不到logs目錄的,而且顯示了隱藏文件夾(win10和winserver2008下)也看不到,但可以在cmd或者powershell可以探測到

使用PCHUNTER強(qiáng)行刪除,或者進(jìn)入安全模式下刪除,或者使用強(qiáng)力的殺毒軟件對指定目錄進(jìn)行清除。

4、服務(wù)清理

服務(wù)名cspsvc,顯示名為Cryptographic Service Providers。

5、任務(wù)計(jì)劃清理

任務(wù)計(jì)劃GpCheck

6、批量排查

Nmap批量掃描999端口

賬戶adm,密碼14370

7.主機(jī)病毒木馬檢測