最近在做日常安全运维时发现某虚拟机CPU利用率异常的高,登录虚拟机发现,某进程占用了异常高的cpu使用率:
通过右键“打开文件所在的位置”:
打开2.bat文件,内容如下:
百度文件内容,发现为知名挖矿木马:
综合虚拟机cpu利用率异常高的现象即可判断该主机已被恶意利用为挖矿的肉机,其将互联网上“挖”到的门罗币汇入如下地址:
4AyP2DqMQVbgHrV2YeX9QATFAdHWpCj932GuqAo9uTHYFrAGTPtxpnn3bGzX5zdLZGUZF91LfRXueEQqZTZeBLuSNnqXUrf。
反编译systmss.exe文件,发现没有显式函数符号:
先通过常量字符串寻找一些蛛丝马迹:
检查注册表异常项,发现Systmss的控制路径和配置项:
由于虚拟机开放了互联网访问权限,导致该木马可以利用互联网资源挖掘门罗币。
根据整个事件的处置过程,对于后续处理和防范挖矿木马,有如下建议:
1、 强制终止systmss进程,并删除恶意文件目录;
2、 删除异常注册表项,即:
计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Systemss\。
3、 关闭虚拟机不需要的互联网权限,即使开放权限也要合理控制,尽量开放单向、特定端口的权限;
4、 建立虚拟机cpu、内存使用率的自动化监控机制,有异常时能及时收到告警;
5、 拷贝文件到虚拟机之前进行病毒查杀。