【虚拟化轻代理】【安全能力】挖矿powershell病毒处理思路

戴红昌发表于:2020年09月16日 10:29:40更新于:2020年11月05日 14:47:48

写在前面

对于轻代理无法拦截powershell挖矿的问题,目前可以直接通过文件分发功能下发360guard.exe,这是轻代理自身的一个反挖矿进程。

placeholder-medium-file.png360Guard.exe

另外,确保轻代理中控版本升级到B17H05或者更高版本


问题现象

报毒文件路径C:\Windows\Temp\cohernece.exe

系统进程上查看到powershell进程大量占用CPU

cohernece.exe进程外联外网地址80端口

powershell进程连接内网其他机器的445端口和外网的14433、14444端口

image.png


手动清理方法


1、使用autoruns查看WMI启动项下是否有Windows Events Consumer,将其删除如图:

image.png


删除计划任务中的AT1 job。

image.png


2、以管理员权限打开Powershell窗口,执行以下ps命令:

Get-WMIObject -Namespace root \ Subscription -Class __EventFilter -filter“Name ='SCM Event Filter'”| remOVe-WMIObject -Verbose

Get-WMIObject -Namespace root \ Subscription -Class CommandLineEventConsumer -Filter“Name ='SCM Event Consumer'” | Remove-WMIObject -Verbose

Get-WMIObject -Namespace root \ Subscription -Class __FilterToConsumerBinding -Filter“__Path LIKE'%SCM Event Consumer%'”| REmOVE-WMIObject -Verbose ([WmiClass]'root \ default:Win32_TaskService')| Remove-WMIObject -Verbose

Get-WMIObject -Namespace root \ Subscription -Class ActiveScriptEventConsumer -Filter“Name ='SCM Event Consumer'”| Remove-WMIObject -Verbose


3、 复制WMIList.vbs脚本到桌面,以管理员权限启动CMD窗口,输入并执行以下命令:

Cscript //nologo WMIList.vbs

提示选项中选择y,清除WMI内存中各种可疑类对象。


4、检测是否具有永恒之蓝漏洞,在Windows 2008 R2上查看有木有这个补丁包 KB4012215,

对应什么系统就在用户机器上查看是否有对应的补丁安装包。

image.png

placeholder-medium-file.pngAutoruns.exeplaceholder-medium-file.pngWMILister.vbs