实战中网络安全：聚铭精准挖掘“挖矿行为”维护阵地

WB3交流加微信：WX-93588，⬅️此处为全站广告位，与正文项目无关
注册并登录App即可领取高达 60,000 元的数字货币盲盒：点击此处注册OKX

重拳出击！聚铭网络为了维护高校网络安全防护阵地，经过流量剖析等安全产品精准地发掘并阻断“挖矿行为”。

最近，南京某技术学院发出网络告警，聚铭网络安全工程师登录到校内”态势感知+流量剖析”平台金色算力云，发现了54台可能中了挖矿病毒的主机。因为校内装置的某免费歹意软件检测东西无法有效地查看到病毒，因而这些病毒一向未被处理，对校园网络造成了严峻的损害。

随后，安全工程师经过登录聚铭流量设备进行检测，承认校内存在挖矿行为的主机。

图1为挖矿事情。

安全工程师首先登录到回连次数最多的主机上查看反常衔接，运用聚铭网络终端取证东西发现该服务器时刻向外恳求53端口。

图2显现主机向矿池主张恳求。

依据取证东西的记录，能够初步判断该台主机的行为归于挖矿木马的恳求回连行为。病毒程序的路径是C:\windows\System32\svchost.exe（病毒伪装成体系的内核进程文件名，以躲避检测程序的查杀）。

在登录其他受影响主机时，安全工程师发现这些主机运用的是Windows7体系，装置的是某免费歹意软件检测东西，而且开放了高危端口135、139、445。

排查过程中，经过指令能够看到主机相同与可疑IP进行衔接，并对其主张很多衔接恳求。

图3显现另一台主机向矿池主张恳求。

从东西上能够看到，主张恳求衔接的进程是dllhostex.exe，文件路径是C:\windows\system32。将文件拷贝到云查杀东西进行查杀后，发现该进程归于CoinMiner挖矿家族程序。

但是，经过网络衔接还发现有进程向同网段的其他主机主张了很多相似扫描的恳求。

图5显现遍历同网段的445端口。

综上，安全工程师发现该台主机存在两个病毒：1.挖矿程序，2.永久之蓝横向传达程序。依据剖析，挖矿程序运用dllhostex.exe进行挖矿，然后运用spoolsv.exe操控同网段其他主机，横向传达挖矿病毒。

针对问题，安全工程师运用第三方杀毒软件进行查杀后，再运用终端取证小东西查看沦陷主机。

图6显现没有可疑的歹意IP衔接。

能够看到，在运用挖矿专杀东西进行查杀后，现已没有歹意衔接。

总结剖析：本次安全事情主要原因是校内主机运用的是某免费歹意软件检测东西，无法有效防护一些荫蔽的木马病毒（如挖矿和蠕虫），导致这些顽固病毒一向存在校内主机上。此外，校内主机运用的都是低版本的Windows 7，而且敞开了高危端口135、139、445，使黑客能够运用永久之蓝缝隙在网络中的主机间进行横向传达。

如果不及时排查校内存在哪些高风险财物（如缝隙主机和高危web服务），可能会导致校内一切主机都受到挖矿病毒感染，影响学生正常上网和校外人士的参观浏览。

处置主张：
1.确认受影响的财物，并对相关歹意IP和域名设置拜访限制。
2.及时对受影响的财物和与其衔接的其他财物进行可疑进程查看，查杀木马病毒。可查找文件名中包含C:\windows\system32\dllhostex.exe和C:\windows\system32\secureboottheme\spoolsv.exe的文件。
3.关闭不必要的端口或服务，敞开防火墙，及时查看修正体系和应用程序的缝隙，包括KB4012598、KB4012212、KB4013429、KB401318、KB4012606。
4.定期运用聚铭网络脆弱性扫描设备对校内网络财物进行缝隙检测，并及时修补缝隙。