近日,新华三威胁检测与响应MDR服务远程分析团队发现一系列隐蔽的“Coinminer家族”挖矿攻击事件,并帮助多位客户及时处置该挖矿病毒,实现“单点发现,全网排查”的服务效果,清除了客户侧存在的所有恶意病毒。
新华三盾山实验室分析认为,该病毒危害性较大,且隐蔽性较高,系统每次启动会自动在后台静默运行恶意挖矿脚本,并利用计算机的CPU或GPU资源来进行加密货币挖掘。这种对计算资源的窃取会大幅降低设备运行速度,加大电力消耗,并缩短设备使用寿命,从而影响业务或生产环境的正常运营;同时,该病毒还存在着极强的顽固性,在将病毒文件清除后,仍可以通过残留的计划任务等隐秘通道重新感染,常规的查杀工具(EDR)很难将其查杀。
以西安某高校为例,在感染病毒后多个业务系统页面响应缓慢,部分业务受到病毒干扰导致数据丢失,机房电力消耗是日常2倍。
事件经过
2023年05月24日,新华三云端L1工程师接到MDR安全托管服务启动通知后,云端L1工程师对新客户西安某高校进行启动会、资产梳理、首次安全评估、7*24小时监测等日常工作。首先通过启动会和资产梳理掌握客户整体安全防护情况,随后立即进行接入后首次安全评估工作,通过对全网威胁进行分析研判,发现事件台账中存在大量的恶意外联事件和主机失陷事件,事件威胁程度为“严重”。
云端L1工程师立即展开对该事件的分析研判,很快确定目的IP为DNS服务器地址:119.XX.XX.XX,随后仔细分析日志详细信息后发现主机请求访问的域名为“donate.ssl.xmrig.com”,通过新华三威胁情报中心发现为矿池域名,判断失陷主机可能均已感染挖矿病毒。
13:48
云端L1通过上述分析研判,在初步确认情报有效后立马上报至该客户的云端L2安全专家,进行进一步分析确认。
13:52
L2根据L1提供的证据截图和日志详细信息,通过分析确认事件的真实性后,迅速将事件通报给客户,并主动协助客户进行病毒查杀和恶意域名封堵处置。
14:05
客户通过杀毒全盘查杀后并未发现异常,客户怀疑误报。
14:15
云端L2向L3专家发起工单,再次研判分析告警信息。L3通过研判分析确认为“Coinminer家族”挖矿病毒,立即主动联系客户,进行手工排查。经过流量排查,确定与矿池域名恶意通信;再通过进程号发现应用“rutserv.exe”在运行该进程;最后结合新华三云端沙箱挖掘出病毒程序和文件夹,删除文件和定时任务。
18:43
处置完成,在处置过程中发现此恶意病毒有两个“顽固”点:1)恶意应用程序有很多隐藏文件;2)恶意病毒创建多个定时计划任务。
查杀结束后,L1人员观察一段时间态势感知,之前的挖矿行为与矿池的恶意通信行为均未再次出现。
从发现告警、确认挖矿病毒,到肃清完成所有病毒,新华三MDR团队帮助客户实现安全监测、防护、响应和处置的完整闭环运营流程,有效保障了整体信息安全,也因此赢得客户对新华三MDR团队认可并给出表扬信。
新华三MDR安全托管服务为客户提供远程7*24小时的持续保障,融合国内领先的威胁情报、攻防对抗等技术,凭借国内顶尖的安全专家团队,以及多年积累的实战经验,以资产、漏洞、威胁、事件四要素为客户提供持续化安全运营服务,帮助客户实现安全监测、防护、响应和处置的完整闭环,实现分钟级响应、小时级处置。
作为数字化解决方案的领导者,新华三集团将在“云智原生”战略指引下,秉承“精耕务实,为时代赋智慧”的理念,坚持“主动安全,业务驱动”的技术创新,将安全能力不断融入到客户的业务变革当中去,为提升百行百业用户信息安全防护能力与水平、加速数字经济与实体经济的深度融合贡献智慧和力量。
原文始发于微信公众号(新华三主动安全):“Coinminer家族”挖矿病毒覆灭记
