0x00 前言

? 隨著虛擬貨幣的瘋狂炒作，挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務器進行挖礦，具體現象為電腦CPU占用率高，C盤可使用空間驟降，電腦溫度升高，風扇噪聲增大等問題。

0x01 應急場景

? 某天上午重啟服務器的時候，發現程序啟動很慢，打開任務管理器，發現cpu被占用接近100%，服務器資源占用嚴重。

0x02 事件分析

? 登錄網站服務器進行排查，發現多個異常進程：

分析進程參數：

wmic process get caption,commandline /value >> tmp.txt

TIPS:

在windows下查看某個運行程序（或進程）的命令行參數
 
使用下面的命令：
wmic process get caption,commandline /value
如果想查詢某一個進程的命令行參數，使用下列方式：
wmic process where caption=”svchost.exe” get caption,commandline /value
這樣就可以得到進程的可執行文件位置等信息。

訪問該鏈接：

Temp目錄下發現Carbon、run.bat挖礦程序:

具體技術分析細節詳見：

360CERT：利用WebLogic漏洞挖礦事件分析

https://www.anquanke.com/post/id/92223

清除挖礦病毒：關閉異常進程、刪除c盤temp目錄下挖礦程序 。

臨時防護方案

1. 根據實際環境路徑，刪除WebLogic程序下列war包及目錄

   rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

   rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

   rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

2. 重啟WebLogic或系統後，確認以下鏈接訪問是否為404

   http://x.x.x.x:7001/wls-wsat

0x04 防範措施

? 新的挖礦攻擊展現出了類似蠕蟲的行為，並結合了高級攻擊技術，以增加對目標服務器感染的成功率。通過利用永恒之藍（EternalBlue）、web攻擊多種漏洞，如Tomcat弱口令攻擊、Weblogic WLS組件漏洞、Jboss反序列化漏洞，Struts2遠程命令執行等，導致大量服務器被感染挖礦程序的現象 。總結了幾種預防措施：

1、安裝安全軟件並升級病毒庫，定期全盤掃描，保持實時防護
2、及時更新 Windows安全補丁，開啟防火墻臨時關閉端口
3、及時更新web漏洞補丁，升級web組件

關於我：一個網絡安全愛好者，致力於分享原創高質量幹貨，歡迎關註我的個人微信公眾號：Bypass--，瀏覽更多精彩文章。

Window應急響應（四）：挖礦病毒