应急响应之挖矿木马分析 conv.docxVIP

置顶：

铭记九一八，永志不忘，奋勇向前！！

一、事件描述

最近遇到过一个挖矿木马，在应急的时候没有能做到快速响应，尽

快定位恶意文件位置，所以事后进行重新整理分析，以便在发生类

似事件时进行尽快锁定恶意文件。

某台主机被安全设备监测到一直在向另外一台服务器发送dns的请

求数据，在请求的数据包中发现一个疑似矿池地址的域名，于是猜

测该主机感染挖矿木马，随后对该主机开展应急工作。首先对系统

服务、端口连接情况、开机启动项、任务计划等常规内容进行排查，

并没有发现异常的程序。通过wireshark抓取数据包，发现确实存

在异常dns请求，本地运行恶意软件，wireshark拦截数据流量包

如下，从数据包中可清楚地发现该矿池地址：

。

通过对流量数据包进行分析，发现数据包的源端口一直在发生变化，

无法定位到具体的发包进程，到此为止，就陷入僵局，所以此处想

重点说下如何通过数据流量包定位异常进程。

动态文件监测往往是一种很有效的恶意文件排查方法，一旦锁定进

程的pid就能利用wmicprocessget

name,executablepath,processid|findstrpid迅速抓出文件的，

wrishark抓包工具只是对数据流量进行提取，但是无法直接定位到

进程，多数的恶意程序在进行发送数据流量时，基本都在变换源端

口，所以更是给确定进程id增加难度，那如何进行pid定位呢，可

尝试如下方法：

1、威胁情报平台匹配

对于挖矿类的病毒木马，数据流量中往往会携带矿池域名，可去威

胁情报平台去做匹配，如此处发现的

，可放到微步在线进行域名匹配，

匹配结果如下

可通过查看样本详细信息，来辅助查看本地的恶意文件，如本次发

现的挖矿木马，威胁平台上存在一个lovecloud的木马文件，可去

搜索本地是否存在类似的软件。

通过tasklist进行模糊匹配tasklist|findstrove，可看到进程中确

实存在一个lovecloud的进程，通过特征匹配去发现恶意文件也是

种方法。

2、火绒剑使用

火绒剑还是非常好用的，虽然当时也用到火绒剑但是由于不是很熟

悉，导致没有做到快速定位，其实通过wrishark和火绒剑配合使用

就能很快找到请求进程。通过wireshark进行实时抓包，通过

wrishark找出数据包源端口为52050

在配合火绒剑的网络实时监控功能，就可通过匹配端口的方法找到

进程pid，由此可见是Svchost.exe被病毒感染，一直在发送含有

矿池地址的dns请求，由于数据包是一直在实时发送的，所以要随

时对火绒剑的网络连接进行刷新。

可进一步查看该进程详细信息，查看其udp的数据，与我们当前

wrishark抓取的数据包源端口匹配，进一步确认该进程为发包进程，

由此可见病毒程序感染了svhost.exe文件。

但是在知道svchost.exe进程，实际并无意义，此时我们依然无法

确定是谁在请求矿池地址。此时抓包发现，木马会没间隔一段时间

就会向该矿池地址发起一次请求，因为网络一直无法通信，所以会

一直在请求该矿池地址，我们抓取的数据包中也就只有这些重复的

dns请求数据包，此时可尝试修改host文件伪造该域名解析地址，

修改host文件如下图

查看netstat请求发现出现一个syn_senttcp连接情况，由于该连

接会在瞬间结束，所以需要一直刷新，跟进该pid进程

跟进5004pid进程，tasklist|findstr5004，发现是

lovecloud.exe的程序，通过网上查看发现该程序确实一个挖矿木

马

利用wmicprocessgetname,executablepath,processid|findstr

5004，获取文件路径

利用taskkill/f/t/im5004结束进程即可，至此，通过跟踪进程一

步步慢慢发现该恶意文件的名称以及所在路径。

3、借助杀毒软件查杀

可利用杀毒软件工具进行查杀，杀毒软件还是很实用的一种方法，

前提是所使用的杀毒软件能够杀的出来，杀毒软件还存在一个弊端

就是，全盘查杀可能会存在扫描时间长，可能会出现等了很长时间

杀软查杀结束后，仍然没有发现恶意文件的情况，此时还是建议进

行人工手动排查，进行快速恶意程序定位。

二、Svchost.exe介绍

Svchost.exe文件主要是存在于“%systemroot%\system32”通

常是在在C盘的Windows\system32这个目录下面，他是NY核

心windows的重要进程，专门为系统启动各种服务的。

Svchost.exe实际上是