“驱动人生”挖矿病毒利用“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播,在多次变种之后,此病毒又集成了mimikatz黑客工具(用于窃取系统密码)以及MicrosoftSQLServer弱口令扫描工具模块进行传播,最终此病毒下载云控木马,在被感染电脑终端进行门罗币挖矿。
感染病毒后系统症状
1、机器卡顿,CPU占用100%,任务管理器中存在大量PowerShell进程,并且占用大量CPU资源。
2、任务计划程序中存在以MAC地址命名的计划任务和BlueTooths计划任务,计划任务具体路径为\Microsoft\Windows,计划任务的内容为PowerShell启动的一串脚本。
3、同时c:\windows\temp可能存在mkatz.ini,m2.ps1等文件。
处理方案
1、请先了解客户环境,如果客户环境终端数量很多,不方便单点使用AvbTool工具的,可以先使用DCT下发部署方案【参考工具及策略详细说明第2部分】来查杀病毒。
2、为了确保之后的操作能够流畅进行,建议先对CPU占用达到100%的计算机进行一次病毒查杀。使用AvbTool专杀工具【参考工具及策略详细说明第1部分】查杀即可(部署了DCT的客户端使用全盘扫描即可)。
然后使用以下工具关闭其他能够窃取凭证的路径:
5、如果系统中有k8h3d的账户,请删除此账户,并且修改其他账户密码,如果有域,建议对整域用户进行密码修改,完成后重启计算机,再次使用AvbTool专杀工具【工具及策略详细说明第1部分】查杀确保系统已经正常(部署了DCT的客户端使用全盘扫描即可)。
6、如果遇到安装有mssql数据库的计算机病毒反复产生,建议排查mssql的账户口令强度是否较弱,及时修改密码。完成后使用AvbTool专杀工具【工具及策略详细说明第1部分】查杀(部署了DCT的客户端使用全盘扫描即可)。
7、如果中毒计算机为WindowsXP以及WindowsServer2003系统,步骤4无法完成,那么建议先关闭所有共享(IPC$除外)【工具及策略详细说明第3部分】,完成后再使用AvbTool专杀工具【工具及策略详细说明第1部分】查杀(部署了DCT的客户端使用全盘扫描即可)
8、禁用PowerShell方案。对于一些不需要使用PowerShell的机器(需得到用户确认),可以禁用PowerShell。禁用方法如下:
①OSCE行为监控阻止PowerShell,通过OSCE控制台统一下发阻止策略【参考工具及策略详细说明第4部分】。
②使用AppLocker禁用PowerShell,该方法适用于单机版本禁用PowerShell,域控部署方法建议用户咨询管理员或者微软【参考工具及策略详细说明第5部分】。
工具及策略详细说明
一、AvbTool专杀工具
解压缩口令novirus
使用方法:
1)下载AvbTool_1904021123.zip,解压缩到文件夹,双击运行AVBShow.exe
2)选择“病毒行为查杀”后点击扫描按钮,如果有检测出病毒,请点击清除按钮清除病毒。
3)工具查杀效果,具体检测到的病毒文件可以通过专杀工具文件夹中的log文件查看:
二、DCT专杀工具
下载地址:
解压缩口令:novirus
DCT专杀工具适用于如下情况:
1、使用以下参数运行cmd和powershell进程:
"-epbypass-e"–initialobfuscatedprocess
"/newol.dat"–trojandownloaderprocess
"/d64.dat"–coinminerprocessfor64-bitsystems
"/d32.dat"–coinminerprocessfor32-bitsystems
2、带有以下参数的Powershell计划任务
“-nop–epbypass–e”
“-epbypass–e”
“Appdata\Roaming\Microsoft\cred.ps1”
3、包含以下子字符串的ImagePath值的20个字符的服务注册表项::"netsh.exefirewalladdportopeningtcp65533"
"schtasks/create/rusystem"
"powershell-nop-epbypass-e"
"powershell-epbypass-e"
专杀工具单机使用方法:
1、将TSC_TROJ_PCASTLE_1607v2.zip解压缩,解压缩口令novirus;
2、64位系统请运行tsc64.exe文件,32位系统运行tsc.exe文件,右键管理员权限运行;
3、专杀工具运行完毕后,会生成Report文件夹,该文件夹中包含log文件,可以查看清除结果。
专杀工具服务器端部署方法:
2、把解压缩的tsc.ptn和tsc.exe,tsc64.exe文件复制到..\PCCSRV\Admin文件夹下面,覆盖原来的文件
3、等几秒钟让officescan服务器运用更新的设置
..\PCCSRV\Download\Pattern\tscptn.zip..\PCCSRV\Download\Engine\TSC.zip
Officescan服务器会把Dce/Dct文件部署到客户端
测试结果:
三、关闭计算机共享
1)管理员权限打开命令行,输入netshare
2)针对已经开启的共享全部关闭(IPC$除外),例如关闭c$共享,命令:netsharec$/del
四、OSCE行为监控阻止PowerShell
1)通过OSCE控制台统一下发阻止策略
设置方法:OSCE控制台->客户端->客户端管理->设置->恶意行为监控设置,将文件全路径添加到阻止列表中
测试结果:组下的所有客户端均可拦截PowerShell操作
2)单机设置允许例外
如果组内有机器需要使用PowerShell,可以对单机设置允许例外,设置方法:
OSCE控制台->客户端->客户端管理->选中具体机器右键->设置->恶意行为监控设置,从阻止列表中删除相应策略并将其加入允许列表。
统一设置恶意行为监控时会对所有客户端统一设置行为监控例外规则,可以单独调整某台或者某计算机组的行为监控设置。注意事项:如已在阻止列表中设置了阻止文件,该文件在添加允许列表时会提示错误信息,需要先将其从阻止列表中删除后方可添加允许列表。
OSCE行为监控拦截测试
1)手动创建PowerShell进程,成功拦截
2)计划任务调用PowerShell,成功拦截
五、使用AppLocker禁用PowerShell
以下操作使用管理员权限
一)创建AppLockerrule
键盘输入Windows徽标+R打开运行窗口,输入gpedit.msc
1、选择计算机配置->Windows设置->安全设置->应用程序控制策略->AppLocker
2、右键点击“可执行规则”,选择“创建新规则”
3、单击“创建新规则”后,打开如下窗口,单击“下一步”:
4、在下图中,操作选项选择“拒绝”,并为此规则选择适用的用户或组,配置完成后,单击“下一步”:
5、然后选择“路径”,然后单击下一步:
6、选择PowerShell程序路径,然后单击“下一步”:
7、为新规则指定名称,然后单击“创建”:
8、如下提示框选择“是”
9、右键选择AppLocker并单击属性,然后在“可执行规则”下,选择“强制规则”,勾选“已配置”。
二)确保ApplicationIdentify服务开启,并设置为开机自启动,如果此服务未正确开启,则AppLockerrule无法正确运行。
三)管理员权限运行命令行窗口,输入GPUPDATE,更新组策略。
四)验证:以上操作完成后,再运行PowerShell将被系统阻止
五)本文以Windows10系统为例进行说明,所述设置方法还适用于如下系统:
注意:使用AppLocker禁用PowerShell的域控部署方法建议咨询管理员或者微软。
Windows7
Windows8
WindowsServer
注意事项
1、AvbTool专杀工具使用注意事项
2)对AvbTool无法清除的情况,请将AvbTool工具文件夹加密压缩后提交案件给RTL,加密密码novirus。
2、DCT专杀工具使用注意事项
3)DCT清除工具可能会清除用户正常使用的PowerShell计划任务。如果用户有正常使用的PowerShell计划任务,建议客户先做备份;