挖礦病毒處理案例分析及思考

摘 ?要：近年來，挖礦病毒和勒索病毒肆無忌憚，許多終端電腦、服務(wù)器被感染，傳播范圍廣，速度快，給企業(yè)和個人帶來了嚴(yán)重的威脅。伴隨信息化發(fā)展，各種各樣的病毒層出不窮。一些病毒很容易清除，一些病毒卻異常頑固、難以處理，挖礦病毒就是其中之一。文章主要探索防范及處理挖礦病毒的方法。結(jié)合服務(wù)器感染挖礦病毒的實際案例，通過逐一的診斷與排查，最終解決服務(wù)器感染挖礦病毒的而產(chǎn)生故障，為防范與解決挖礦病毒提供思路。

關(guān)鍵詞：服務(wù)器;挖礦病毒;故障處理;防范措施

中圖分類號：TP309.5 ? ? ?文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）12-0145-03

Abstract：In recent years，mining viruses and ransomware have been unscrupulous，and many terminal computers and servers have been infected，with wide spread and fast speed，which has brought serious threats to enterprises and individuals. With the development of information technology，various viruses have appeared. Some viruses are easy to remove，while others are extremely stubborn and difficult to handle. Mining viruses are one of them. This article mainly explores methods to prevent mining viruses and deal with mining viruses. Combined with the actual case of the server infected with mining virus，through the diagnosis and investigation one by one，the fault caused by the server infected with mining virus is finally solved，which provides ideas for the prevention and solution of mining virus.

Keywords：server;mining virus;fault handling;preventive measures

0 ?引 ?言

隨著社會對信息資源的依賴程度越來越高，網(wǎng)絡(luò)和信息系統(tǒng)安全問題愈加重要，保障網(wǎng)絡(luò)和信息系統(tǒng)安全是信息化發(fā)展過程中必須要解決的重大問題。我國信息系統(tǒng)安全面臨的形勢非常嚴(yán)峻，必須高度重視信息系統(tǒng)安全。目前，挖礦病毒已經(jīng)成為不法分子使用最為頻繁的攻擊方式之一，每年全國有大量服務(wù)器被挖礦病毒感染。本文研究了挖礦病毒的清除辦法、傳播方式和防范措施，以減少感染挖礦病毒的機率，降低挖礦病毒對網(wǎng)絡(luò)信息安全的威脅。挖礦病毒會占用服務(wù)器資源，導(dǎo)致服務(wù)器運行緩慢，而且還可能影響重要業(yè)務(wù)與數(shù)據(jù)的安全性。結(jié)合實際處理方式，經(jīng)過對挖礦病毒的研究和探索，為挖礦病毒的處理、防范提供了思路。

本單位對傳統(tǒng)數(shù)據(jù)中心進(jìn)行改造，建成了私有云平臺，采用分布式技術(shù)，實現(xiàn)計算資源、網(wǎng)絡(luò)資源、存儲資源的池化和服務(wù)化。云平臺建成后，所有業(yè)務(wù)遷移至虛擬機。感染病毒的所有服務(wù)器由資源池統(tǒng)一分配資源，均為虛擬機。作為本單位信息系統(tǒng)管理員，在服務(wù)器感染病毒后，對其進(jìn)行了相應(yīng)的處理。前期通過刪除病毒進(jìn)程等簡單處理，未能徹底清除病毒。由于所有服務(wù)器在同一網(wǎng)段，IP地址互通，在感染病毒后，服務(wù)器之間未進(jìn)行隔離，其他服務(wù)器幾在天后也遭到了病毒感染。通過查找資料、研究挖礦病毒，采取了多種方法最終清除了挖礦病毒，使服務(wù)器恢復(fù)正常。

1 ?故障現(xiàn)象

服務(wù)器為學(xué)院私有云平臺上建立的虛擬機，安裝Windows Server 2008 R2操作系統(tǒng)。按照常規(guī)對服務(wù)器進(jìn)行健康檢查，在云計算管理平臺發(fā)現(xiàn)網(wǎng)站服務(wù)器CPU使用率接近100%，服務(wù)器資源占用嚴(yán)重。登錄網(wǎng)站服務(wù)器，系統(tǒng)運行緩慢，打開Windows任務(wù)管理器，發(fā)現(xiàn)多個異常PowerShell.exe進(jìn)程占用了很高的CPU資源。結(jié)束異常進(jìn)程，CPU資源使用率恢復(fù)正常。在第二天的服務(wù)器巡查工作中，發(fā)現(xiàn)另外幾臺服務(wù)器也發(fā)生了CPU占用率高的現(xiàn)象。通過信息中心360威脅感知平臺發(fā)現(xiàn)病毒最初感染時間為“2020-06-03 07：43：37”，警告類型為“[惡意軟件]遠(yuǎn)控木馬”，威脅名稱為“挖礦蠕蟲活動事件”，結(jié)果為“失陷”，攻擊源地址來自美國密歇根州蘭辛市，如表1所示。服務(wù)器被挖礦病毒感染后通常會出現(xiàn)運行異常緩慢、沒有打開任何程序但CPU占用率非常高的現(xiàn)象。根據(jù)查閱資料及威脅感知平臺數(shù)據(jù)，結(jié)合被病毒感染后出現(xiàn)的現(xiàn)象判斷服務(wù)器感染了挖礦病毒，已被黑客控制利用。作為信息系統(tǒng)管理員，發(fā)現(xiàn)服務(wù)器出現(xiàn)異常，必須第一時間進(jìn)行處理。根據(jù)感染挖礦病毒后常見現(xiàn)象，進(jìn)行了結(jié)束進(jìn)程、殺毒等一系列操作，CPU利用率恢復(fù)到正常水平，徹底清除了挖礦病毒，使服務(wù)器恢復(fù)正常。

2 ?故障診斷與排除

2.1 ?查殺病毒

網(wǎng)站服務(wù)器操作系統(tǒng)安裝360安全衛(wèi)士和360殺毒軟件。使用360安全衛(wèi)士對操作系統(tǒng)進(jìn)行木馬查殺，未發(fā)現(xiàn)相關(guān)木馬。使用360殺毒軟件對服務(wù)器進(jìn)行全盤掃描，未掃出任何病毒。把360安全衛(wèi)士和殺毒軟件升級到最新版本，重新查殺仍未發(fā)現(xiàn)任何病毒。

2.2 ?結(jié)束進(jìn)程

查看服務(wù)器操作系統(tǒng)任務(wù)管理器，發(fā)現(xiàn)大量PowerShell.exe進(jìn)程，導(dǎo)致CPU占用率接近100%。通過手動關(guān)閉所有PowerShell.exe進(jìn)程釋放CPU后，CPU利用率立即下降，恢復(fù)到正常水平。幾小時后登錄服務(wù)器檢查，發(fā)現(xiàn)多個PowerShell.exe進(jìn)程重啟運行，CPU占用率仍達(dá)到100%。為徹底禁止Powershell.exe進(jìn)程，嘗試刪除或重命名C：＼Windows＼System 32目錄下的PowerShell.exe文件，但無法完成刪除和重命名的操作。

2.3 ?專殺工具查殺

通過360天眼分析平臺的威脅感知系統(tǒng)，發(fā)現(xiàn)服務(wù)器存在挖礦蠕蟲活動事件，結(jié)果顯示服務(wù)器感染了挖礦蠕蟲病毒，攻擊結(jié)果為失陷。使用驅(qū)動人生專殺工具和“永恒之藍(lán)”下載器木馬專殺工具對服務(wù)器操作系統(tǒng)進(jìn)行全盤掃描，最終找到了PowerShell.exe等挖礦蠕蟲病毒文件。對所有發(fā)現(xiàn)的病毒文件進(jìn)行一鍵清理，PowerShell.exe進(jìn)程被清理掉，任務(wù)管理器沒有找到相關(guān)進(jìn)程，CPU利用率恢復(fù)正常。但攻擊并沒有結(jié)束，第二天對服務(wù)器進(jìn)行檢查，發(fā)現(xiàn)PowerShell.exe進(jìn)程重新運行，導(dǎo)致CPU使用率又接近100%。

2.4 ?刪除定時任務(wù)

服務(wù)器感染挖礦病毒后會創(chuàng)建隨機計劃任務(wù)。使用taskkill命令暫時將服務(wù)器操作系統(tǒng)上的PowerShell.exe進(jìn)程結(jié)束。刪除定時任務(wù)，在管理工具→計劃任務(wù)程序→計劃任務(wù)程序庫中刪除可疑的計劃任務(wù)。服務(wù)器感染挖礦病毒后，會對內(nèi)網(wǎng)其他服務(wù)器進(jìn)行暴力破解，繼而進(jìn)行擴散，所以要更改服務(wù)器密碼。隨即更改所有感染挖礦病毒或在同一網(wǎng)絡(luò)的所有服務(wù)器操作系統(tǒng)的登錄密碼，增加密碼的復(fù)雜度設(shè)置，由字符大小寫、數(shù)字、特殊符號組成，且不小于8位數(shù)。

2.5 ?虛擬機防護軟件掃描及策略優(yōu)化

使用360網(wǎng)神虛擬化安全管理系統(tǒng)對感染病毒的主機進(jìn)行全盤掃描、強力查殺;對中病毒主機執(zhí)行webshell掃描。掃描出許多被病毒感染的文件，對全部文件執(zhí)行清除、隔離。在虛擬化安全管理系統(tǒng)上增加防火墻規(guī)則，開啟所有入侵防御功能，關(guān)閉445、137、139等高危端口。

2.6 ?使用360急救箱進(jìn)行系統(tǒng)急救

在服務(wù)器上安裝360系統(tǒng)急救箱。使用急救箱強力模式對系統(tǒng)進(jìn)行急救。通過全盤掃描，掃出幾個有異常的定時計劃任務(wù)，全部清除。通過幾天觀察，未發(fā)現(xiàn)PowerShell.exe進(jìn)程導(dǎo)致CPU利用率高的現(xiàn)象。360天眼分析平臺也未提示有任何服務(wù)器感染挖礦病毒。

3 ?出現(xiàn)故障的原因分析

3.1 ?內(nèi)部攻擊

攻擊者通過偽造郵件或惡意鏈接，誘導(dǎo)內(nèi)網(wǎng)用戶下載郵件中的惡意軟件。黑客攻擊內(nèi)部電腦并獲取系統(tǒng)權(quán)限，植入病毒，利用腳本自動化橫向滲透內(nèi)網(wǎng)部署挖礦病毒。

相關(guān)人員安全意識不足，未做好口令管理和安全防護。黑客通過某種手段獲取內(nèi)網(wǎng)辦公電腦權(quán)限，采用WMI+ PowerShell的內(nèi)存駐留方式實現(xiàn)無文件挖礦和橫向感染。

3.2 ?漏洞利用

網(wǎng)站提供對外服務(wù)，服務(wù)器操作系統(tǒng)存在漏洞，未及時修復(fù)。并且開啟了445、3389等高危端口，這些對外開放的網(wǎng)絡(luò)端口，被攻擊者利用、入侵并植入挖礦病毒。服務(wù)器之間未配置隔離，密碼設(shè)置簡單，導(dǎo)致服務(wù)期間相互感染。

3.3 ?虛擬機相互感染

服務(wù)器是虛擬機，而虛擬機相互之間的通訊依靠虛擬機交換機，由于虛擬交換機的寬泛性，所有的虛擬機都可以隨時互相通信，當(dāng)其中一臺虛擬機感染病毒或存在漏洞時，攻擊者便可以利用漏洞控制這臺虛擬機，然后向宿主機上其他虛擬機發(fā)起攻。由于傳統(tǒng)的硬件安全設(shè)備無法對虛擬機之間的交互進(jìn)行檢測防護，不能對其他虛擬機提供安全防護能力，攻擊者就可以暢通無阻地攻擊其他虛擬機。這就導(dǎo)致如果一臺服務(wù)器感染病毒，其他服務(wù)器也將面臨被感染的風(fēng)險。

3.4 ?密碼設(shè)置簡單

服務(wù)器密碼復(fù)雜度低，病毒可以通過密碼暴力破解入侵服務(wù)器，植入挖礦病毒。挖礦病毒結(jié)合高級攻擊技術(shù)，增加了對目標(biāo)服務(wù)器感染的成功率。通過利用各種漏洞，導(dǎo)致大量服務(wù)器被感染挖礦病毒程序。

4 ?防范措施

4.1 ?優(yōu)化服務(wù)器配置并及時更新

開啟服務(wù)器防火墻，服務(wù)只開放業(yè)務(wù)端口，關(guān)閉所有不需要的高危端口，例如137、138、445、3389等。關(guān)閉服務(wù)器不需要的系統(tǒng)服務(wù)、默認(rèn)共享。及時給服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、常用軟件安裝最新的安全補丁，及時更新Web漏洞補丁、升級Web組件，防止漏洞被利用，有效抵防范已知病毒的攻擊。

4.2 ?強化密碼復(fù)雜度及登錄策略

對登錄服務(wù)器的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有一定的復(fù)雜度要求并定期更換。制定嚴(yán)格的密碼策略，比如密碼要定期修改、要保證足夠的長度和復(fù)雜度。設(shè)置高復(fù)雜度密碼，增強口令強度，并刪除一些不必要的配置。設(shè)置服務(wù)器登錄密碼強度和登錄次數(shù)限制，口令不要用一些容易被猜到的組合。在服務(wù)器配置登錄失敗處理功能，配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿洿螖?shù)鏈接超時自動退出等相關(guān)防范措施。

各服務(wù)器要有自己獨立的賬號、密碼體系，不能多個服務(wù)器公用一個賬號、密碼。重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)密碼。開啟操作系統(tǒng)審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計。

4.3 ?漏洞防范與掃描

程序設(shè)計考慮不周會對程序本身、系統(tǒng)或數(shù)據(jù)帶來潛在的危害，造成代碼漏洞。引進(jìn)業(yè)務(wù)系統(tǒng)，必須考慮業(yè)務(wù)代碼的健壯性，避免存在高、中危漏洞。使用漏洞掃描系統(tǒng)定期進(jìn)行漏洞掃描，在發(fā)現(xiàn)操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫等存在可以被遠(yuǎn)程利用的漏洞后應(yīng)及時修復(fù)。應(yīng)使用正版的操作系統(tǒng)軟件，至少要求Windows Server 2008及以上擁有更高安全性的版本，減少病毒感染等風(fēng)險。更新操作系統(tǒng)文件，及時修復(fù)系統(tǒng)漏洞，保持操作系統(tǒng)文件及相關(guān)軟件為最新版本。

4.4 ?邊界防護

在互聯(lián)網(wǎng)出口和服務(wù)器區(qū)域的出口等關(guān)鍵位置部署防火墻或?qū)ｉT的防病毒網(wǎng)關(guān)，防止病毒在網(wǎng)絡(luò)層面?zhèn)鞑ズ蛿U散。設(shè)置安全設(shè)備自動更新病毒特征庫。開啟防病毒、入侵防御、反垃圾郵件等功能。然而上述配置不能一勞永逸，需要定期查看和分析日志，根據(jù)實際情況不斷調(diào)整和優(yōu)化防御策略。在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外，受控接口應(yīng)拒絕所有通信。

4.5 ?應(yīng)用層防護

增加針對應(yīng)用層的安全監(jiān)測、防護設(shè)備。利用相關(guān)軟、硬件安全設(shè)備，能夠?qū)ξ粗{的惡意行為實現(xiàn)早期、迅速的發(fā)現(xiàn)，進(jìn)而對受害目標(biāo)及攻擊源頭進(jìn)行精準(zhǔn)定位，及時發(fā)現(xiàn)并阻斷攻擊。病毒在掃描網(wǎng)絡(luò)中漏洞主機的過程中的流量也是有特征可尋的，利用專業(yè)的安全設(shè)備及早發(fā)現(xiàn)并消滅病毒，避免大規(guī)模感染的發(fā)生。

4.6 ?終端防護

單位的終端包括電腦主機、服務(wù)器等，上述設(shè)備都需要安裝正版殺毒軟件，并需要及時更新它們的病毒特征庫。正版的付費殺毒軟件相較于免費版增加了很多功能。免費版殺毒軟件通常只能查殺基本的病毒，一旦感染了頑固的病毒就很難完成殺毒工作。免費版殺毒軟件安全保障程度較低，經(jīng)常出現(xiàn)誤刪，在殺毒的過程中如果把重要的文件弄誤刪，公司也不能追究廠商的責(zé)任。而付費版的殺毒軟件能夠避免這種情況，即使文件被誤刪，也能要求相關(guān)廠商恢復(fù)。

在系統(tǒng)剛剛做好的時候，在服務(wù)器終端安裝正規(guī)的防病毒軟件，并將病毒特征庫升級到最新的版本，定期對服務(wù)器進(jìn)行病毒查殺，避免感染并查殺一般的病毒。

4.7 ?數(shù)據(jù)備份

使用備份設(shè)備對操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、虛擬化設(shè)備進(jìn)行備份，既能保證數(shù)據(jù)的安全，又能夠快速地恢復(fù)數(shù)據(jù)及相關(guān)業(yè)務(wù)。防止感染病毒導(dǎo)致數(shù)據(jù)丟失或無法使用。比如系統(tǒng)感染了勒索病毒，會對所有的“.doc”、“.xlsx”、“.jpg”等重要文件進(jìn)行加密，基本上無法對其解密。使用備份設(shè)備提高了數(shù)據(jù)安全性，為數(shù)據(jù)安全加了一道保險，可以有效降低病毒感染帶來的損失。

4.8 ?日志采集

安裝日志服務(wù)器，采集業(yè)務(wù)系統(tǒng)中海量日志數(shù)據(jù)，實時監(jiān)控系統(tǒng)性能及可用性，追溯故障根源，及時發(fā)出警告，降低故障對業(yè)務(wù)訪問的影響，滿足智能運維監(jiān)控的要求。盡早發(fā)現(xiàn)異常操作行為、快速排查性能故障、避免日志遭到篡改刪除，滿足單位全面安全審計的要求。采用日志服務(wù)器或日志審計系統(tǒng)對審計記錄進(jìn)行保護，并定期備份。

4.9 ?信息安全培訓(xùn)

各種安全技術(shù)應(yīng)該與運行管理機制、相關(guān)人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合，從社會工程學(xué)的角度綜合考慮。加強所有相關(guān)人員的信息安全培訓(xùn)，提高信息安全意識，不隨意點擊來源不明的郵件、文檔、鏈接，不要訪問可能攜帶病毒的非法網(wǎng)站。若在內(nèi)部使用U盤，需要先進(jìn)行病毒掃描查殺，確定無病毒后再完全打開使用。

5 ?結(jié) ?論

病毒防護既要做好外部防護，也要防范內(nèi)部攻擊。在抵御外界攻擊的同時，應(yīng)該加強對內(nèi)部網(wǎng)絡(luò)環(huán)境的監(jiān)控。不僅要通過技術(shù)手段防范病毒，還需要加強工作人員的信息安全培訓(xùn)，提高所有人員信息安全防范意識。病毒威脅千變?nèi)f化，防御入侵不能一步完成。要通過監(jiān)控服務(wù)器、網(wǎng)絡(luò)狀態(tài)、分析相關(guān)日志，調(diào)整和優(yōu)化不合理策略，才能在最大程度上保證服務(wù)器、網(wǎng)絡(luò)的安全性。

傳統(tǒng)安全設(shè)備如今已經(jīng)無法抵御復(fù)雜、隱蔽的APT攻擊。防火墻只能針對網(wǎng)絡(luò)層以下進(jìn)行防護，需要不斷完善對應(yīng)用層以及相關(guān)應(yīng)用協(xié)議的防護機制。對于不同的病毒，它們有其自身的特點，選擇相應(yīng)的專業(yè)查殺工具進(jìn)行查殺也是清除病毒的技巧之一。任何網(wǎng)絡(luò)和信息系統(tǒng)都無法做到絕對的安全。系統(tǒng)的安全工程要有一定的靈活性來適應(yīng)變化，做到有層次性、體系性，既有利于系統(tǒng)的安全，又有利于系統(tǒng)的擴展。

參考文獻(xiàn)：

[1] 郭俊英，劉衛(wèi)明，張明明，等.云計算架構(gòu)的網(wǎng)絡(luò)信息安全對策分析 [J].通訊世界，2018（5）：109-110.

[2] 周靖哲，陳長松.云計算架構(gòu)的網(wǎng)絡(luò)信息安全對策分析 [J].信息網(wǎng)絡(luò)安全，2017（11）：74-79.

[3] 謝尊平，彭凱.網(wǎng)絡(luò)信息安全的危害因素和保障措施 [C] //第二十二次全國計算機安全學(xué)術(shù)交流會.全國計算機安全學(xué)術(shù)交流會論文集（第二十二卷）.中國湖南張家界：中國科學(xué)技術(shù)大學(xué)出版社，2007：197-199.

作者簡介：趙文軍（1986.11—），男，漢族，貴州貴陽人，助理實驗師，本科，主要研究方向：計算機網(wǎng)絡(luò)、信息安全。