博客介绍了WannaMiner、MsraMiner、HSMiner挖矿攻击,给出自查方法,如检查特定任务计划、文件和进程;还说明了清除和防护措施,包括删除可疑任务、进程和文件,安装系统补丁,关闭端口,安装杀毒软件等。
WannaMiner/MsraMiner/HSMiner挖矿攻击
概述
| 挖矿名称 | WannaMiner |
|---|---|
| 涉及平台 | Windows |
| 相关恶意代码家族 | WannaMiner、MsraMiner、HSMiner |
| 攻击入口 | 使用永恒之蓝漏洞 |
| 相关漏洞及编号 | CVE-2017-0144 |
| 描述简介 | WannaMiner是一个非常活跃的恶意挖矿家族,曾被多个安全厂商披露和命名,包括WannaMiner,MsraMiner、HSMiner。其最早活跃于2017年9月,以使用“永恒之蓝”漏洞为攻击入口以及使用“Mimikatz”凭证窃取工具攻击服务器植入矿机,并借助PowerShell和WMI实现无文件。 |
自查方法
-
检查是否存在任务计划名为:“Microsoft\Windows\UPnP\Spoolsv”的任务
-
检查%windir%目录下是否存在cls.bat和spoolsv.exe和windows.exe文件
-
并检查是否存在可疑的java.exe进程
如何清除和防护
-
删除检查到的可疑的任务计划和自启动项
-
结束可疑的进程如运行路径为:%windir%\IME\Microsofts\和运行路径为%windir%\spoolsv.exe和%windir%\windows.exe的进程
-
删除c盘目录下的012.exe和023.exe文件
-
安装Windows系统补丁并保持自动更新
-
如果不需要使用Windows局域网共享服务,可以通过设置防火墙规则来关闭445等端口
-
安装杀毒软件可有效防护该类挖矿病毒的攻击
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
