Powershellminer變體木馬故障排除

最近在運維工作發(fā)現(xiàn)一例比較有特點的由木馬引起的服務(wù)器故障，在處理過程中發(fā)現(xiàn)與普通的PowerShell的木馬有所不同，網(wǎng)上的通用方案并不能一次性解決。

起因是某日下午，單位一個樓層的業(yè)務(wù)部門反映生產(chǎn)業(yè)務(wù)操作十分卡頓，工程師去現(xiàn)場處理發(fā)現(xiàn)本地電腦操作上網(wǎng)正常，但登錄業(yè)務(wù)系統(tǒng)十分緩慢，業(yè)務(wù)軟件操作卡頓嚴重，該樓層多臺電腦都是如此，但其他樓層業(yè)務(wù)登錄正常。在后臺看到該樓層業(yè)務(wù)后臺虛擬服務(wù)器遠程登錄異常，在Vcenter查看，該樓層3臺業(yè)務(wù)虛擬服務(wù)器都報CPU警示，提示虛擬CPU資源不足。

圖1 將WMI啟動項刪除

控制臺進行該虛擬服務(wù)器發(fā)現(xiàn)CPU使用率為100%，查看進程發(fā)現(xiàn)PowerShell進程占用了98%的CPU資源，上網(wǎng)查了一下估計有可能是PowerShell木馬引起的故障。

處理階段一：為盡快處理故障，按網(wǎng)上教程，主要由“永恒之藍”漏洞補丁引起，在微軟官網(wǎng)下載對應(yīng)的漏洞補丁（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。并下載在微軟官網(wǎng)使用Autoruns工具，選擇WMI（如圖1）將該WMI啟動項刪除（該項底部詳細欄有“SELECT* FROM __InstanceModi ficationEvent WITHIN 5600”）。

做完相應(yīng)處理后虛擬服務(wù)的CPU的使用率立即下降，遠程登錄也不卡頓了。可是沒過多久其他樓層業(yè)務(wù)部門也反映同樣的問題，在處理過程中，原來處理完打好補丁的的虛擬器的CPU占用率又上升了，沒過半個小時全網(wǎng)的虛擬服務(wù)器主機全面告警。

為應(yīng)急處置，將備用的虛擬服務(wù)器主機也加入當前的主機群集中來暫時降低當前主機負載，平臺CPU占用率僅有15-20%飆升到110%。此時表明，原先處理還是有漏洞，沒有全面清理干凈，在三層上如果直接封堵445端口測部分依賴于共享的業(yè)務(wù)需全面停止，會嚴重影響生產(chǎn)業(yè)務(wù)。

處理階段二：重新登錄到剛剛處理的虛擬服務(wù)器上看到PowerShell進程又占用了98%，殺了進程沒多久又開啟了。木馬躲到哪里去了呢？由于PowershellMiner類的木馬沒有本地惡意文件，我們難以發(fā)覺，沒有特定的可執(zhí)行文件，大都通過shell或PHP腳本來執(zhí)行下載某類文件。

圖2 可疑的cohernece可執(zhí)行文件

圖3 木馬在任務(wù)計劃程序中添加的多個定時任務(wù)

圖4 木馬在任務(wù)計劃程序中添加的多個定時任務(wù)

首先還是在進程里查看有沒異常的進行文件，發(fā)現(xiàn)一個名為cohernece的可執(zhí)行文件不太對（圖 2），顯示是Get system info，取得系統(tǒng)信息，筆者查了一下是個PowerGhost類的木馬（MD5值:4fe2de6fbb278e56c23e90 432f21f6c8）。

該文件存放于電腦的Windows emp下，可笑的是還標的是卡巴斯基公司出品！

處理過程中還發(fā)現(xiàn)其在任務(wù)計劃程序中添加了好幾個定時任務(wù)。添加的任務(wù)序列也不盡相同（如圖3、圖 4），但都指向可疑的網(wǎng)址“http://info.7h4uk.com”。從443端口上執(zhí)行相應(yīng)的PHP腳本，植入scrobj.dll文件。

在刪除了任務(wù)計劃和清除了相應(yīng)文件后，虛擬CPU的占用率再也沒有升上來，故障排除因為時間較緊沒有找到該PHP的運行痕跡，在處理某些故障服務(wù)器還發(fā)現(xiàn)有的木馬居然偽裝成google update進程，任務(wù)計劃中也是如此。

此次木馬主要感染W(wǎng)indows 7和Windows 2008的主機，Windows 2003 因不支持Powershell功能逃過一劫。因此及時打好各類補丁還是有必要的，漏洞少了木馬感染的機率也相應(yīng)降低了。