一次CPU平稳的隐藏挖矿木马应急响应

概述

2023年6月25日通过入侵检测防御系统（IPS）监测发现XX服务器系统大量请求矿池域名告警。

成果

2023年6月25日，应急响应xx服务器出现挖矿木马安全事件。经排查，受害服务器存在挖矿进程smss.exe、恶意进程taskhost.exe 等，还有attribadd.bat等恶意文件及相关恶意服务项，可开机自启实现持久化。分析发现，恶意文件taskhost.exe调用config.ini隐藏挖矿与恶意进程，通过增减文件属性躲避杀毒软件，利用Kernel驱动调整CPU设置隐藏自身，还用svchost.exe将恶意文件封装为服务实现开机自启。这些恶意行为让样本能长期驻留系统挖矿，降低被发现和清除几率。受害服务器2022年1月29日创建恶意文件，虽经杀毒软件检测未发现异常而未进一步处理，但判定当日已感染。因现有系统日志时间为2023年5月3日至6月26日且无异常，无法确定攻击源IP。该服务器账号是弱口令，未打永恒之蓝补丁，办公终端区与服务器区防火墙未设安全策略，推测此次安全事件是从已感染设备横向传播所致。

应急过程

对受害服务器CPU使用率进行排查，未发现CPU使用率过高情况

通过排查进程时发现可疑进程smss.exe、taskhost.exe、svchost.exe，对应文件路径为C:\Windows\Fonts\system32\smss.exe、C:\Windows\Fonts\system32\taskhost.exe、C:\Windows\Fonts\system32\svchost.exe

对受害服务器端口连接进行排查，发现受害服务器与可疑IP 113.214.2.XX建立连接，对应进程为smss.exe，与上述可疑进程一致

随即对可疑IP 113.214.2.196威胁情报检索，该IP归属地为中国浙江省衢州市，标签为公共矿池地址，确认对应进程smss.exe为挖矿进程

对受害服务器服务进行排查，发现可疑服务Network Connected，对应文件执行路径为C:\Windows\Fonts\system32\svchost.exe

通过上述进程排查，发现可疑文件taskhost.exe，文件路径为C:\Windows\Fonts\system32，由于C盘中无法通过文件夹查看该文件，故使用dos命令进入该目录，进一步发现可疑文件1.bat、1xmr.bat、2.bat、3.bat、4.bat、22.bat、33.bat、44.bat、attribadd.bat、attribdel.bat、cmd.bat、config.ini、jbeta.bat、smss.exe、svchost.exe、taskhosl.exe、taskhosm.exe、taskhosw.exe、WinRing0x64.sys

提取可疑文件taskhost.exe进行动态沙箱分析，经分析，该文件为crypt木马，主要功能为可将可读可写的内存属性改为可读可执行；当程序出现错误时，将错误返回给调用者；获取系统信息等，经对可疑文件taskhosl.exe、taskhosm.exe、taskhosw.exe分析，确认上述文件与taskhost.exe为同一恶意文件

使用IDA分析工具对恶意文件taskhost.exe进一步分析，发现该恶意文件调用了config.ini配置文件，主要功能为读取该配置中所指定的进程管理器及工具，通过利用进程管理器及工具的功能，恶意文件能够在进程列表和资源监视器中隐藏挖矿及恶意进程，避免所指定的进程管理器及工具检出

通过对可疑文件config.ini进行分析，发现文件中为所指定的进程管理器及工具，为上述恶意文件taskhost.exe调用的配置文件

提取可疑文件smss.exe进行动态沙箱分析，经分析，确认该文件为挖矿木马主程序

通过对可疑文件1.bat进行分析，发现该文件的主要功能为利用svchost.exe安装恶意文件taskhost.exe，创建恶意服务项Network Connected，以达到持久化驻留的目的；由此判定上述服务项排查的服务为恶意服务，1.bat为恶意脚本文件，经对可疑文件2.bat、3.bat、4.bat、22.bat、33.bat、44.bat分析，确认上述文件与1.bat功能相同，均为恶意脚本文件

通过对可疑文件cmd.bat进行分析，发现该文件为执行挖矿文件smss.exe的脚本文件，其中包括矿池域名、钱包地址和密码信息，由此判定该文件为恶意文件。经对可疑文件jbeta.bat分析，确认该文件与cmd.bat功能相同，为恶意文件

通过对可疑文件1xmr.bat进行分析，发现该文件的主要功能为利用sc.exe命令停止系统服务，且运行cmd.bat与jbeta.bat脚本文件，由此判定1xmr.bat为恶意文件

通过对可疑文件attribadd.bat进行分析，发现该文件的主要功能为将当前目录下的文件和文件夹开启存档、系统、只读、隐藏、受保护属性，且恶意文件jbeta.bat和config.ini文件移除存档、系统、只读、受保护、隐藏属性，由此判定该文件为恶意文件

通过对可疑文件attribdel.bat进行分析，发现该文件的主要功能为将当前目录下的文件和文件夹移除存档、系统、只读、隐藏、受保护属性，由此判定该文件为恶意文件

通过对可疑文件WinRing0x64.sys进程分析，发现该文件的主要功能为使用kernel驱动修改MSR寄存器来禁用CPU预取器，以达到CPU使用率平稳的目的，由此判定该文件为恶意文件

通过对可疑文件svchost.exe进行分析，发现通过上述恶意文件1.bat可知，该文件为Windows环境下一款免安装的服务管理软件，主要功能为将应用封装成服务，即将普通exe程序封装成服务使之像windows服务可以设置自动启动等。并且可以监控程序运行状态，程序异常中断后自动启动，实现守护进程的功能

处置措施

1. 结束恶意进程smss.exe、taskhost.exe、svchost.exe；
2. 删除目录C:\Windows\Fonts\system32下恶意文件1.bat、1xmr.bat、2.bat、3.bat、4.bat、22.bat、33.bat、44.bat、attribadd.bat、attribdel.bat、cmd.bat、config.ini、jbeta.bat、smss.exe、svchost.exe、taskhosl.exe、taskhosm.exe、taskhost.exe、taskhosw.exe、WinRing0x64.sys；
3. 禁用并删除服务项Network Connected。