免费挖矿挖币平台MACE（免费挖矿挖币平台是真的吗）

用户投稿 • 2022年8月15日 07:32 • 网络资讯 • 阅读 682

重拳出击！聚铭网络以流量分析等安全产品精准挖掘、阻断“挖矿行为”，维护高校网络安全防护阵地。

问题发现

近日，南京某技术学院发出网络告警，聚铭网络安全工程师登录到校内'态势感知+流量分析'平台，发现了54台主机可能中了挖矿病毒。由于校内安装的某免费恶意软件检测工具不能有效地检查到病毒，故而病毒一直未被处理，对学校网络造成严重损害。

随即，安全工程师通过登录聚铭流量设备进行检测，确定了校内有主机存在挖矿行为。

图1：挖矿事件

终端取证

安全工程师首先登录到回连次数最多的某主机上面查看异常连接，利用聚铭网络终端取证工具发现该服务器不断的向外请求53端口。

图2：主机向矿池发起请求

从取证工具的记录发现，该台主机不断向另一台主机发起请求。至此可以初步判断，这种属于机器行为。有很大可能属于挖矿木马的请求回连行为。恶意程序路径为：C:\windows\System32\svchost.exe（由此可见病毒会伪装成系统的内核进程文件名，来绕过检测程序的查杀。）

按学校老师反馈登录其他失陷主机时，安全工程师发现主机使用的是Windows7主机，安装的是某免费恶意软件检测工具，并且主机开放了135、139、445等高危端口。

排查过程中，通过命令可以看到主机同样与可疑IP进行连接，并对其发起大量连接请求。

图3：另一台主机向矿池发起请求

从工具上面看到，发起请求连接的进程是dllhostex.exe，文件路径是C:\windows\system32。将文件拷贝到云查杀工具进行查杀，可以看到该进程是属于挖矿木马程序。

图4：进程属于CoinMiner挖矿家族程序

但是，从网络连接上面又发现了有进程向同网段的其他主机发起了大量类似扫描的请求。

图5：遍历同网段的445端口

至此，安全工程师看到该台主机存在两个病毒：1.挖矿程序、2.永恒之蓝横向传播程序。再根据中挖矿病毒的主机大部分都是都是属于同一个网段，可以分析出，该挖矿程序是利用的dllhostex.exe（挖矿）程序进行挖矿，然后利用spoolsv.exe（永恒之蓝漏洞）程序控制同网段其他主机，横向传播挖矿病毒。

问题处理

针对爆出问题，安全工程师使用第三方的杀毒软件进行了查杀，杀毒完成后，再用终端取证小工具检查失陷主机。

图6：无可疑的恶意IP连接

可以看到通过挖矿专杀工具的查杀之后，已经没有恶意连接。

总结分析

本次安全事件的发生，主要是校内的主机使用的都是某免费恶意软件检测工具，对一些比较隐蔽的木马病毒（挖矿、蠕虫）没有很好的防护手段，导致此类顽固病毒会一直存在校内主机上面。而校内的主机使用的都是版本较低的win7版本，且开启了高危端口135、139、445，致使黑客可以利用永恒之蓝漏洞，对网络中的主机进行横向扩散。

如果不及时排查校内还存在哪些高风险资产（漏洞主机、高危web服务），可能会导致校内所有主机都存在该挖矿病毒，影响学生的正常上网使用以及校外人士的参观浏览。

处置建议

1. 确认受影响资产，并对相关恶意IP、域名设置访问限制。

2. 及时对受影响资产和能与其连接的其他资产进行可疑进程检查，木马病毒查杀。可以文件名包含C:\windows\system32\dllhostex.exe

C:\windows\system32\secureboottheme\spoolsv.exe

3. 关闭不必要的端口或服务，开启防火墙，及时检查修复系统和应用漏洞，包括KB4012598、KB4012212、KB4013429、KB401318、KB4012606。

4. 可以通过聚铭网络脆弱性扫描设备，定期对校内的网络资产进行漏洞检测，及时修补漏洞。

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 sumchina520@foxmail.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.sumedu.com/faq/251315.html