注册
登录
| 关键词: 病毒 powershell 恶意 逆向 服务器 处理 综上 资源 端口 杀毒软件 |
初步估计是病毒,没的说,开始排查。由于我们都不是专业的安全人员,不会做逆向分析,所以只是大致分析了病毒的行为,并做了紧急处理,下面是处理过程。 首先我们看资源,发现有N个cmd、powershell进程,同时也查询到有大量的445端口数据包  然而诡异的是竟然没能通过进程定位的病毒文件,最关键的我们所用的某著名杀毒软件,这兄弟竟然也没吱声,看来被同化了。 继续排查,在计划任务中,发现了一些踪迹  这是一段powershell代码,但是被加密过  可以看到一个恶意网址,从计划任务和powershell内容的字面意思可以理解,是每隔1小时,去访问这个恶意网址调取powershell脚本执行。 综上,基本可以看出这是个挖矿病毒,感觉上和之前某驱动下载软件漏洞导致的挖矿病毒类似。 能分析出这个,就好办了。 首先,通过组策略,关闭全网服务器的445端口,必须要开放的,只向固定的用户开放。 然后,防火墙增加恶意域名黑名单,阻止连接。更换杀毒软件,目前来看用SCEP可以扫出该病毒并清除。 当然这只是临时的紧急处理方法,针对病毒的逆向解析和溯源,还是要等专业的安全人员协助进行。 |
| 本文出处: https://www.toutiao.com/a6728986095612068364/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
