应急处置-挖矿

应急处置-挖矿

一、概述

通过漏洞入侵主机后运行挖矿程序,利用主机的硬件资源挖矿获利

  1. 主要看CPU、GPU利用率、网络连接情况
  2. 处置流程
  3. 其余场景
  • webshell(河马、D盾、其他查杀工具)
  • 黑连(js劫持、服务端代码劫持、nginx反向劫持、重定向、ISS模块劫持)、根据对应类型进行排查(源码比对、配置文件、DLL文件排查)
  • C&C通信(根据通信地址匹配威胁情报确定具体类型进系排查)
  1. Bluehero蠕虫挖矿

二、 案例

涉事单位:xxxx信息科技学院

流量监测设备告警:捕获大量异常外联流量

定位告警源头主机,锁定机房目标服务器

登录入侵主机排查系统资源

使用 netstat 匹配外联 IP 与对应进程 PID

明确恶意外联 IP + 恶意进程 PID

根据 PID 查找恶意程序(命令:tasklist | findstr PID值)

3 种方式定位恶意进程文件路径:

A(PowerShell 通用):执行 (Get-Process -Id PID).Path 直接读取程序路径

B(Win7 老旧系统 CMD):执行 wmic process where ProcessId=PID get ExecutablePath

C(图形化任务管理器):Ctrl+Shift+Esc 打开任务管理器 → 筛选对应 PID 进程 → 右键打开文件所在位置

提取恶意样本,开展深度病毒 / 威胁分析

溯源分析:

一、事件背景

置服务器被发现存在挖矿程序,CPU 资源被异常占用。

二、溯源分析

1.资产风险:服务器系统老旧,为 2018 年停用的校园网收费系统遗留资产,长期无人维护、未纳入资产管控

2.核心漏洞:SQL Server 数据库 sa 账号存在弱口令(123456),且 1433 端口暴露于公网

3.攻击痕迹:挖矿程序植入时间显示为 2009 年,与系统停用时间矛盾,判定为攻击者篡改时间抹除攻击痕迹

4.攻击链路:攻击者通过公网端口扫描发现暴露的 SQL Server 服务→利用 sa 弱口令暴力破解获取管理员权限→植入挖矿程序并篡改时间实现长期驻留。

最后确定是攻击者是通过公网漏洞进入内网、发现此服务器SQL server弱口令后实施攻击

加固方案:

恶意程序清除与隔离

  1. 断开服务器公网连接,仅保留内网运维权限,防止攻击持续与横向扩散
  2. 终止挖矿相关进程,删除恶意程序文件、开机自启项、计划任务
  3. 全面排查服务器后门、远控木马,清除所有异常账号与权限
  4. 备份服务器日志、数据库日志,留存攻击溯源证据

数据库紧急加固

  1. 立即重置 SQL Server 所有账号密码,强制 sa 账号使用 16 位以上复杂强密码(大小写字母 + 数字 + 特殊字符)
  2. 禁用 sa 账号远程登录权限,仅允许内网指定 IP 访问
  3. 删除数据库中异常存储过程、扩展存储过程,关闭 xp_cmdshell 等高危功能
  4. 审计数据库所有账号权限,回收非必要的高权限

系统基础加固

  1. 重置服务器所有管理员账号密码,删除冗余、闲置账号
  2. 关闭服务器所有非必要端口,仅开放业务必需端口(如无业务需求,全端口关闭)
  3. 清理系统中异常开机自启项、服务、计划任务

业务与资产加固

  1. 对已停用的校园网收费系统,立即下线服务器,销毁数据后报废或回收
  2. 若需保留服务器,彻底卸载原业务系统、数据库,重装系统后再投入使用
  3. 全面梳理单位所有服务器资产,建立资产台账,明确责任人与维护周期

现场照片

通过搜索引擎再次确认样本

参考连接:https://www.freebuf.com/articles/network/399117.html

三、样本分析报告

对提取的恶意样本进行动静态分析

挖矿病毒

(dllhostex.exe)

分析研判

样本描述:

WannaMine v4.0挖矿病毒: 使用 dllhostex.exe 作为XMRig挖矿模块,通过SMB漏洞横向传播;消耗系统资源进行门罗币(XMR)挖矿,常通过漏洞(如EternalBlue)传播进行远程控制设备、窃取数据、投放其他恶意软件。

详细分析如下:

样本名称 样本类型 样本hash 样本大小
dllhostex.exe 挖矿病毒 f009dfd79ef013ecb959a5811f15fd44 1907712 字节

通过沙箱检测,均出现报毒情况,确认该样本为挖矿木马病毒样本

行为检测

该样本为典型挖矿类恶意软件,在分析环境中表现出多层反检测与抗逆向行为:通过感知时区、检查网络适配器地址躲避虚拟分析环境,同时拖慢任务进度干扰逆向分析;其静态字符串中存在矿池地址相关特征,且疑似创建 shellcode 以支撑后续恶意代码执行。

注入合法进程 svchost.exe 隐藏自身,并注册随机命名的服务实现开机自启。

创建隐藏目录 C:\Windows\NetworkDistribution 存储攻击工具(如永恒之蓝漏洞利用程序。

多引擎检测

该样本在主流安全引擎中被广泛识别为挖矿类恶意软件,包括微软、卡巴斯基、ESET 等多家引擎均检出为 CoinMiner、Miner 或 CryptoMiner 相关木马 / 潜在恶意程序,部分引擎标记为灰色软件(GrayWare)或特洛伊木马;仅百度、NANO、瑞星等少数引擎未检出,整体确认其为典型的挖矿木马样本。

动态分析

通过动态分析,程序成功运行后会外联恶意域名hot.tenchier.com,该域名指向多个境外IP地址

Win10运行流程:

Win7运行流程:

hot.tenchier.com所对应的威胁情报

境外IP:46.101.26.221位于英国-英格兰-伦敦

在 Windows 7与 Windows 10环境中,检测到门罗币挖矿样本通过 TCP 协议向外发起连接,目标地址为159.89.117.134:443与46.101.26.221:443,执行挖矿登录及 jsonrpc 挖矿登录操作,流量均为出站方向。

网络行为

病毒程序通过解析恶意域名hot.tenchie.com(经 CNAME 指向tech.tositive.com,最终解析到 IP 地址46.101.26.221等),与位于英国伦敦 DigitalOcean 机房的服务器46.101.26.221:443建立了多次 TCP 连接,产生了加密流量交互。该域名被判定为恶意,关联WannaMine、CoinMiner 挖矿木马及私有矿池、远控等恶意行为,属于典型的挖矿木马外联矿池的网络通信特征。

核心分析

核心功能
  1. 命令行参数处理:支持多种命令行参数,如 --config、--daemon、--background 等
  2. 配置管理:支持从配置文件读取挖矿参数
  3. 矿池连接:支持连接到挖矿池进行挖矿
  4. 硬件检测:使用hwloc库检测系统硬件拓扑
  5. 多线程挖矿:支持多线程并行挖矿
  6. API服务:提供HTTP API接口用于监控和控制
关键字符串

挖矿相关:pools、login、worker-id、rig-id、submit、job_id、nonce、result

配置相关:config、daemon、autosave、watch、background

网络相关:http-enabled、http-host、http-port、http-access-token

硬件相关:cpu-affinity、cpu-priority、max-cpu-usage、cpu-max-threads-hint

版本信息:0.0.0、libuv/1.31.0、hwloc/2.0.4

导入函数

网络相关:WSARecvFrom、WSASend、WSASocketW、connect、bind、listen

系统相关:CreateThread、SetThreadPriority、SetPriorityClass、Sleep

文件操作:CreateFileW、ReadFile、WriteFile、FindFirstFileW

内存操作:VirtualAlloc、VirtualFree、HeapAlloc、HeapFree

硬件检测:GetLogicalProcessorInformation、GetAdaptersAddresses

启动流程
  1. 程序启动时调用 FreeConsole() 隐藏控制台窗口
  2. 创建互斥体 {B8A7AE22-7F59-CDE5-71F9C2A} 和 {FA4C20F1-97FC-ED6B-0B488E9} 防止多实例运行
  3. 处理命令行参数并初始化配置
  4. 检测系统硬件拓扑并导出到 topology.xml 文件
  5. 初始化挖矿核心并开始挖矿

挖矿机制

使用 xmrig::App 和 xmrig::Controller 类管理挖矿过程

支持连接到多个矿池(通过 pools 配置)

支持设置挖矿强度(通过 max-cpu-usage 配置)

支持设置捐赠比例(通过 donate-level 配置)

总结

经过分析,该程序是一个挖矿软件,是一个开源的CPU/GPU挖矿工具,主要用于挖掘门罗币(Monero)等加密货币。

该样本为dllhostex.exe,是一个大小 1.83MB 的 64 位 Windows 可执行文件,在 28 款安全引擎中 16 款检出,被明确归类为CoinMiner/WannaMine 挖矿木马家族的恶意软件。

它具备完整的挖矿恶意行为链条:静态字符串中存在矿池地址相关特征,疑似创建 shellcode;同时通过感知时区、检查网络适配器、拖慢任务进度等手段实现反检测与反逆向;在网络层面,通过解析恶意域名hot.tenchie.com,外联至46.101.26.221:443、159.89.117.134:443等矿池地址,执行门罗币挖矿登录及 jsonrpc 操作,属于典型的门罗币挖矿木马,核心目的为在受感染主机上秘密挖矿以获取虚拟货币收益。

处置建议

1、终止进程:

检查任务管理器,结束 dllhostex.exe 及其父进程 svchost.exe(需验证服务组名)。

2、清除持久化:

删除注册表中的恶意服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services<随机服务名>。

3、删除恶意文件

定位并删除以下项目:

C:\Windows\System32\dllhostex.exe

C:\Windows\NetworkDistribution\(整个目录)

C:\Windows\System32<随机名>.dll

4、全盘扫描

使用专业安全工具(如Malwarebytes、CrowdStrike Falcon)进行深度扫描,清除残留威胁。

5、修复漏洞

更新系统补丁,关闭不必要的SMB端口,防止漏洞利用。

四、相关工具

第三方威胁情报查询平台:

微步:https://x.threatbook.com/

奇安信:https://ti.qianxin.com/

深信服:http://ti.sangfor.com.cn/analysis-platform

virustotal: https://www.virustotal.com/gui/home/upload

本地工具:

D-Eyes 绿盟科技应急响应工具(木马病毒扫描)

下载地址:https://github.com/m-sec-org/d-eyes_1.1.0.zip

使用方法:https://www.ddosi.org/d-eyes/

火绒剑(电脑安全情况的工具,支持查看进程、启动项、内核、钩子等信息)

https://bbs.kanxue.com/thread-281253-1.htm

PCHunter(进程查看)

下载地址:https://raw.gitcode.com/Universal

Tool/7802d/blobs/a1bcd8fa487fa409bc3b9010fdc48afc00690d73/PCHunter_1.6.7z

Autoruns(自启动项查看)

下载地址:https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns

Process hacker(高级进程分析工具,系统进程监控与管理工具)

下载地址:https://pan.quark.cn/s/5a2bccf45fb5#/list/share

SfAntiBot(查杀、检索)

下载地址:https://wlaqztw.hbust.edu.cn/system/_content/download.jsp

urltype=news.DownloadAttachUrl&owner=1513076756&wbfileid=2048704