百度360必应搜狗淘宝本站头条
ug5 0软件免费下载右键菜单清理flac文件grub4doss spline
当前位置:网站首页 > 技术文章 > 正文

实战!聚铭网络精准挖掘“挖矿行为”,维护网络安全阵地

cac55 2025-04-01 16:09 21 浏览 0 评论

重拳出击!聚铭网络以流量分析等安全产品精准挖掘、阻断“挖矿行为”,维护高校网络安全防护阵地。

问题发现

近日,南京某技术学院发出网络告警,聚铭网络安全工程师登录到校内'态势感知+流量分析'平台,发现了54台主机可能中了挖矿病毒。由于校内安装的某免费恶意软件检测工具不能有效地检查到病毒,故而病毒一直未被处理,对学校网络造成严重损害。

随即,安全工程师通过登录聚铭流量设备进行检测,确定了校内有主机存在挖矿行为。

终端取证

安全工程师首先登录到回连次数最多的某主机上面查看异常连接,利用聚铭网络终端取证工具发现该服务器不断的向外请求53端口。

从取证工具的记录发现,该台主机不断向另一台主机发起请求。至此可以初步判断,这种属于机器行为。有很大可能属于挖矿木马的请求回连行为。恶意程序路径为:C:\windows\System32\svchost.exe(由此可见病毒会伪装成系统的内核进程文件名,来绕过检测程序的查杀。)

按学校老师反馈登录其他失陷主机时,安全工程师发现主机使用的是Windows7主机,安装的是某免费恶意软件检测工具,并且主机开放了135、139、445等高危端口。

排查过程中,通过命令可以看到主机同样与可疑IP进行连接,并对其发起大量连接请求。

从工具上面看到,发起请求连接的进程是dllhostex.exe,文件路径是C:\windows\system32。将文件拷贝到云查杀工具进行查杀,可以看到该进程是属于挖矿木马程序。

但是,从网络连接上面又发现了有进程向同网段的其他主机发起了大量类似扫描的请求。

至此,安全工程师看到该台主机存在两个病毒:1.挖矿程序、2.永恒之蓝横向传播程序。再根据中挖矿病毒的主机大部分都是都是属于同一个网段,可以分析出,该挖矿程序是利用的dllhostex.exe(挖矿)程序进行挖矿,然后利用spoolsv.exe(永恒之蓝漏洞)程序控制同网段其他主机,横向传播挖矿病毒。

问题处理

针对爆出问题,安全工程师使用第三方的杀毒软件进行了查杀,杀毒完成后,再用终端取证小工具检查失陷主机。

可以看到通过挖矿专杀工具的查杀之后,已经没有恶意连接。

总结分析

本次安全事件的发生,主要是校内的主机使用的都是某免费恶意软件检测工具,对一些比较隐蔽的木马病毒(挖矿、蠕虫)没有很好的防护手段,导致此类顽固病毒会一直存在校内主机上面。而校内的主机使用的都是版本较低的win7版本,且开启了高危端口135、139、445,致使黑客可以利用永恒之蓝漏洞,对网络中的主机进行横向扩散。

如果不及时排查校内还存在哪些高风险资产(漏洞主机、高危web服务),可能会导致校内所有主机都存在该挖矿病毒,影响学生的正常上网使用以及校外人士的参观浏览。

处置建议

1. 确认受影响资产,并对相关恶意IP、域名设置访问限制。

2. 及时对受影响资产和能与其连接的其他资产进行可疑进程检查,木马病毒查杀。可以文件名包含C:\windows\system32\dllhostex.exe

C:\windows\system32\secureboottheme\spoolsv.exe

3. 关闭不必要的端口或服务,开启防火墙,及时检查修复系统和应用漏洞,包括KB4012598、KB4012212、KB4013429、KB401318、KB4012606。

4. 可以通过聚铭网络脆弱性扫描设备,定期对校内的网络资产进行漏洞检测,及时修补漏洞。

相关推荐

基于FPGA的伪随机序列发生器设计(fpga伪随机数发生器)

基于FPGA的伪随机序列发生器设计1基本概念与应用1)LFSR:线性反馈移位寄存器(linearfeedbackshiftregister,LFSR)是指给定前一状态的输出,将该输出的线性...

基于MATLAB的BP神经网络预测计算App

BP(BackPropagation)神经网络可用于数据的预测,是经常使用的预测方法之一。之前介绍了基于MATLAB的guide制作的BP神经网络预测计算GUI界面,但是随着MATLAB版本的更新,之...

《matlab/simulink仿真ROS学习笔记》第1期

PC平台:window10软件平台:MATLABR2016a备注:不知道具体的matlab版本号,可以打开matlab在终端界面输入:version查看一,调用matlab软件中自带的ROS步骤:...

matlab读取表格数据以固定周期通过串口发送

如题,这里对数据的处理对于熟悉matlab各函数操作的同学来讲,是常规操作,但对于matlab新手或只是想借用matlab工具将存于PC端文件中的数据通过串口发送出去的工程人员来说,由于对matlab...

选择电磁阀必须要知道的8个因素(电磁阀的选择应从哪些方面考虑)

如何正确选择电磁阀,电磁阀的种类、规格、标准以及根据不同的介质选择的型号各不相相同,电磁阀的参数选择不全面的话,会影响使用寿命、诱发各种潜在危险甚至事故,下面诺伊曼的工程师将与您一起探讨关于正确选择电...

一种图像局部特征快速匹配算法(图像局部特征描述和提取方法研究)

摘要:在图像处理和机器视觉领域,SIFT是目前被广泛应用的一种基于局部特征的图像匹配算法。针对SIFT算法匹配速度较慢和常常存在错误匹配对的问题,本文提出在匹配过程中采用角度相似性分析替代传统的欧...

增益映射耦合局部正则化的图像重构算法

朱莉(西安科技大学计算机学院,陕西西安710054)摘要:针对当前的图像重构方法在对多帧超分辨率图像复原时,存在明显的模糊效应与振铃效应的不足,提出增益映射控制耦合局部正则化的图像重构算法。首...

每天一个MATLAB小技巧(9)(matlab简单教程)

欢迎关注公众号:【阿波兹得】上文接:每天一个MATLAB小技巧(8)如果你觉得我的文章对你有亿点点帮助的话,兄弟姐妹们看的时候顺便戳一下关注、点赞、收藏~谢谢朋友们,大家的支持就是我不断更新的最大动力...

零基础入门Matlab:两小时快速上手指南

前言Matlab作为一款强大的数学计算和可视化工具,广泛应用于工程、科研和数据分析领域。本文为零基础学习者量身定制,通过简洁明了的讲解和案例,助你快速掌握Matlab核心功能,两小时轻松入门!1.界...

用改进的深度差分特征识别人体部位

摘要:为了进一步提高人体部位识别正确率,考虑人体部位尺寸不一特性,提出了改进型深度差分特征。改进型深度差分特征根据人体部位尺寸大小确定特征偏移量取值,然后利用随机森林算法训练分类模型,实现了人体部...

MATLAB《自动控制原理》相关编程(二)

摘要:本文主要讲解自动控制原理中涉及的相关MATLAB函数,包括拉式变换和反拉式变换、传递函数的化简(并联和串联)、带延时的传递函数、单位速度、单位加速度和其他任意输入的响应。1.拉式变换时域函数转...

MATLAB-图片自动编号、命名及保存

在进行运算的可以,可能经常需要对图形进行保存,手动操作比较繁琐,可以自动的生成图片并按照一定的规律自动命名,这样可以提高效率。实现功能会涉及到一些函数的使用和往期介绍的图像的保存方法。下面简单回顾一下...

MATLAB的Simulink常用模块(一)(simulink的matlab function模块)

在MATLAB的Simulink中有些常用的模块,今天主要介绍常数模块、示波器模块、以及模块属性的操作函数。1.模块的构成元素输入/输出端口:作为模块之间传递数据的纽带,连接输入信号和输出信号。模块...

闪耀金色光芒的冥王侍卫,掌管宇宙睡意的使者,温柔杀手修普诺斯

在极乐净土中有两位守护冥王哈迪斯的神,一个是死神塔纳多斯,另一个就是他的哥哥修谱诺斯。这两个神明一个是能掌握人类生死的大权,另一个则是负责人类和神仙的睡眠。可以说这两个人都十分的厉害。那么作者就给大...

无线安全的高级利用:隔离网络里你不知道的Wi-Fi隐蔽传输通道

2018年4月,在荷兰阿姆斯特丹HackInTheBox安全会议上,我们分享了一个关于隔离网攻击技术的议题——GhostTunnel:CovertDataExfiltratio...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表