dwnclear.exe 挖矿木马排查过程

大概是3月初的一次排查了,一直都没时间总结。不懂目前的杀毒软件能不能查杀,留下排查过程,以便需要的人查看解决。

当时我们接到业主通知,说有一台 Windows 服务器被上级通报中了挖矿木马,一直在访问 xmr.pool.minergate.com 这个挖矿地址,幸好目标主机无法访问外网,未造成实质影响,业主希望我们尽快排查,并清除相关恶意程序。

一开始我们的排查目标,是看有哪些资源使用量较大的进程,然后对进程进行分析处理,这也是针对挖矿木马特性所进行的一种排查,毕竟要挖矿,资源占用少不了。

但是让人感到奇怪的是,主机上并没有发现资源占用高的进程,查看 tcp 连接,也并未发现跟外网相关的链接。刚开始以为是定期执行的脚本,但是查看了系统日志,也并未发现异常。但经过半天的排查,也不是毫无所获,在查看系统进程时,我发现一个名叫 dwnclear.exe 的进程比较奇怪,根据名称来看,应该是下载记录清理进程,但是它被拉起得很频繁,并且会在主机上执行 cacls.exe 权限控制命令,再并且,它的路径在 C:\Windows 下……综合看来,这个进程非常可疑。

image

进程的可疑操作

确认可疑进程后,通过 微步在线云沙箱 对进程进行模拟运行分析操作,结果如下:

image

微步云沙箱对 dwnclear.exe 的分析结果

通过沙箱分析,可以看到,dwnclear.exe 拉起了另一个名叫 ntubost.exe 的进程并设置为自启动,并且对很多系统文件进行了提权。提权操作我们暂不管,因为这台主机已经断开所有网络连接,暂时隔绝了攻击。我们首先把 ntubost.exe 再次进行了沙箱分析,果然……

image

微步云沙箱对 ntubost.exe 的分析结果

ntubost.exe 程序启动后,会使用 tcp 协议访问 xmr.pool.minergate.com:45560 地址,用户名为:srofvietnam@protonmail.com。但是由于服务器无法访问外网,导致地址访问失败,无法进行下一步操作。

image

xmr.pool.minergate.com 已被确认为矿池

自此,罪魁祸首已经找到,剩下的,就是木马清除以及文件权限修复和系统加固工作了……不过这是快速恢复业务所进行的临时操作,我们还是建议在业务空闲时,做好业务迁移,以及主机重装工作。因为不论是内部或者外部原因,既然木马已经部署,那说明安全上可能还有不为人知的漏洞,特别是对于一些年份较久,权限较为混乱的业务主机来说,为了避免木马被重新安装,重装主机以及重新分配权限才是最合适的做法。