https://web.scut.edu.cn/2022/0413/c32211a467487/page.htm

懷疑主機在進行“挖礦”，殺毒軟件全盤查殺又查不出病毒的情況下，可對可疑的網(wǎng)絡(luò)連接和進程進行重點查殺。

一、Windows系統(tǒng)

1、排查疑似惡意網(wǎng)絡(luò)連接

目前挖礦病毒外聯(lián)都是TCP連接，排查時可關(guān)掉所有正在運行的軟件，菜單選擇“開始”->“運行”或”Windows+R“鍵，輸入cmd進入Windows命令行 ，然后輸入 netstat -ano | findstr SYN_SENT、netstat -ano | findstr ESTA， 可分別顯示嘗試建立連接的TCP進程和已建立連接的TCP進程

（注明： “Windows+R“鍵為）

2、排查疑似惡意進程及文件

通過排查疑似惡意網(wǎng)絡(luò)連接，定位到PID，在Windows命令行繼續(xù)輸入如下命令通過PID反查惡意進程名：

tasklist | findstr PID

通過反查到的進程名輸入如下命令反查進程文件所在位置：

wmic process where name='進程名' get processid,executablepath,name

也可以打開任務(wù)管理器（可通過Ctrl+Shift+ESC調(diào)用）的詳細信息欄，檢查 PID進程號對應(yīng)的進程是否為正常，例如通過 PID 號查看下運行文件的路徑。對于CPU飆高的情況，可直接在任務(wù)管理器排查CPU使用率高的進程。

定位疑似惡意文件后，結(jié)合學校通報的情況，通過指定文件的病毒查殺、外聯(lián)IP的威脅情況評估決定是否誤報，確定惡意后可刪除文件。

3、排查查詢或訪問惡意域名的進程

挖礦木馬一般需要連接礦池節(jié)點IP，而礦池節(jié)點IP很多是通過查詢域名獲得，如果收到學校通報查詢挖礦域名而殺毒軟件查殺不到，動手能力較強的用戶可以通過下面鏈接的方法排查查詢該挖礦域名的具體進程，進一步確定木馬病毒，方法中使用微軟開發(fā)的系統(tǒng)活動監(jiān)視工具Sysmon。

參考鏈接：https://blog.csdn.net/lidonghit/article/details/105141928

https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon

二、Linux系統(tǒng)

1、排查疑似惡意網(wǎng)絡(luò)連接及相關(guān)惡意進程和文件

Linux下排查一般都需先進入root權(quán)限，命令行輸入netstat -antp，查看主機是否有連接惡意IP或者服務(wù)器是否有未被授權(quán)的端口被監(jiān)聽。

輸入ls -l /proc/$PID/exe或file /proc/$PID/exe，查看下 pid 所對應(yīng)的進程文件路徑。（$PID 為對應(yīng)的 pid 號）

使用lsof列出進程打開的文件，輸入lsof -p $PID，同時可查看守護進程。

利用strace追蹤病毒進程，輸入strace -tt -p $PID -o $filename -ff，查看追蹤日志cat $filename.*，檢查病毒進程打開或者寫入的文件。

必要時可安裝unhide檢查隱藏進程。

如果判定為惡意進程和惡意文件，可查看并刪除對應(yīng)的文件，文件中可能包含虛擬貨幣錢包、木馬運行腳本、撞庫成功主機賬號密碼列表等信息，可向?qū)W校網(wǎng)絡(luò)中心反饋相關(guān)信息?？梢允褂胟ill -9 $PID命令結(jié)束該進程。

也可以嘗試通過top-c命令查看CPU占用率，若CPU占用率很高，則找到CPU占用率高的進程進一步排查，或者直接通過ps-ef查看網(wǎng)絡(luò)進程，分析是否有可疑進程。

2、排查查詢或訪問惡意域名的進程

微軟開發(fā)的Sysmon監(jiān)視工具也有Linux版本，動手能力較強的用戶可以進一步嘗試使用該工具。

 

哪個進程在訪問這個惡意域名???

https://blog.csdn.net/lidonghit/article/details/105141928

哪個進程在訪問這個惡意域名？
背景
信息安全工程師很多時候需要通過某個惡意域名來判斷主機失陷情況。惡意域名特征比較明顯的，比較容易通過威脅情報找到相關(guān)線索。例如fr.minexmr.com，通過威脅情查詢，該惡意域名比較容易判斷該主機感染W(wǎng)annaMine挖礦病毒。知道主機感染是什么惡意軟件后，就比較容易找到解決方法。

但是威脅情報也不是萬能的，威脅情報具有很強的時效性，“老的”威脅情報有可能出現(xiàn)謬誤。而由于一些其他原因，我們可能只知道這個域名是惡意的，其他的什么也不知道，這就導致溯源和應(yīng)急工作無法進一步開展。

這時，信息安全工程師需要通過惡意域名定位具體進程，找到惡意軟件組件再做進一步判斷。由于惡意軟件訪問惡意域名很難實時的溯源到，多數(shù)時候如果惡意軟件不能訪問到其C2服務(wù)器，就會保持靜默狀態(tài)，等待下一個周期進行訪問嘗試。這個周期有時幾個小時或者1天不等，這又為溯源和應(yīng)急響應(yīng)工作制造了不小的困難。

本文提供兩種通過惡意域名定位進程的方法。第一種是使用SYSMON監(jiān)控程序，該方法需要部署，定位進程比較準確。第二種方法是使用兩款windows電子取證工具，無需部署，但是監(jiān)測時間視具體情況而定，準確性也需要實踐檢驗。這里分享給大家，提供思路，大家結(jié)合實際情況運用。

部署Sysmon輕量級監(jiān)控程序
Sysmon是微軟的一款輕量級的系統(tǒng)監(jiān)控工具，最開始是由Sysinternals開發(fā)的，后來Sysinternals被微軟收購，現(xiàn)在屬于Sysinternals系列工具。它通過系統(tǒng)服務(wù)和驅(qū)動程序?qū)崿F(xiàn)記錄進程創(chuàng)建、文件訪問以及網(wǎng)絡(luò)信息的記錄，并把相關(guān)的信息寫入并展示在windows的日志事件里。首先安裝Sysmon 10，注意版本。

 

 

更新配置文件

 

 

DNS訪問記錄需要查看事件日志，Windows事件日志在計算機管理中

 

 

Sysmon具體路徑為：應(yīng)用程序和服務(wù)日志/Microsof /Windows/Sysmon/Operational

 

 

 

 

篩選日志，DNS查詢事件號為22。利用篩選功能進行過濾。

 

 

 

再通過查找關(guān)鍵字符串進行定位。

 

 

得到訪問域名和對應(yīng)的進程。

 

 

 

使用DNSQuerySniffer和Process Monitor定位進程
DNSQuerySniffer是網(wǎng)絡(luò)嗅探工具，顯示DNS查詢發(fā)送您的系統(tǒng)。每個DNS查詢，顯示以下信息：主機名，端口號，編號查詢，請求類型（A，AAAA，NS，和MX，等等），請求響應(yīng)時間，時間，時間，響應(yīng)代碼，數(shù)量的記錄，并返回的DNS記錄的內(nèi)容。通過DNSQuerySniffer我們先確定訪問惡意域名的端口號。這個工具的優(yōu)點是可以將主機訪問過的所有域名記錄下來。

我們通過DNSQuerySniffer先確定訪問惡意域名checkip.xxxx的端口號為51008。時間為2020年3月25日14：38：38左右。

 

 

接下來使用Process Monitor定位進程

由于Process Monitor會產(chǎn)生大量事件日志，要進行過濾。

只查看網(wǎng)絡(luò)連接事件
只查看“UDP SEND”事件

 

再根據(jù)時間軸和端口進行進程定位，這樣就找到了訪問惡意域名的進程。

 

 

 

參考鏈接
https://www.anquanke.com/post/id/180170

sysmon下載地址

https://live.sysinternals.com/sysmon.exe

sysmon配置文件下載地址

https://github.com/SwiftOnSecurity/sysmon-config

DNSQuerySniffer下載地址

https://www.nirsoft.net/utils/dns_query_sniffer.html

Process Monitor下載地址

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon