实战中网络安全：聚铭精准挖掘“挖矿行为”维护阵地

最近，南京某技术学院发出网络告警，聚铭网络安全工程师登录到校内"态势感知+流量分析"平台金色算力云，发现了54台可能中了挖矿病毒的主机。由于校内安装的某免费恶意软件检测工具无法有效地检查到病毒，因此这些病毒一直未被处理，对学校网络造成了严重的损害。

随后，安全工程师通过登录聚铭流量设备进行检测，确认校内存在挖矿行为的主机。

图1为挖矿事件。

安全工程师首先登录到回连次数最多的主机上查看异常连接，利用聚铭网络终端取证工具发现该服务器时刻向外请求53端口。

图2显示主机向矿池发起请求。

根据取证工具的记录，可以初步判断该台主机的行为属于挖矿木马的请求回连行为。病毒程序的路径是C:\windows\System32\svchost.exe（病毒伪装成系统的内核进程文件名，以逃避检测程序的查杀）。

在登录其他受影响主机时，安全工程师发现这些主机使用的是Windows7系统，安装的是某免费恶意软件检测工具，并且开放了高危端口135、139、445。

排查过程中，通过命令可以看到主机同样与可疑IP进行连接，并对其发起大量连接请求。

图3显示另一台主机向矿池发起请求。

从工具上可以看到，发起请求连接的进程是dllhostex.exe，文件路径是C:\windows\system32。将文件拷贝到云查杀工具进行查杀后，发现该进程属于CoinMiner挖矿家族程序。

然而，通过网络连接还发现有进程向同网段的其他主机发起了大量类似扫描的请求。

图5显示遍历同网段的445端口。

综上，安全工程师发现该台主机存在两个病毒：1.挖矿程序，2.永恒之蓝横向传播程序。根据分析，挖矿程序利用dllhostex.exe进行挖矿，然后利用spoolsv.exe控制同网段其他主机，横向传播挖矿病毒。

针对问题，安全工程师使用第三方杀毒软件进行查杀后，再使用终端取证小工具检查失陷主机。

图6显示没有可疑的恶意IP连接。

可以看到，在使用挖矿专杀工具进行查杀后，已经没有恶意连接。

总结分析：本次安全事件主要原因是校内主机使用的是某免费恶意软件检测工具，无法有效防护一些隐蔽的木马病毒（如挖矿和蠕虫），导致这些顽固病毒一直存在校内主机上。此外，校内主机使用的都是低版本的Windows 7，并且开启了高危端口135、139、445，使黑客可以利用永恒之蓝漏洞在网络中的主机间进行横向传播。

如果不及时排查校内存在哪些高风险资产（如漏洞主机和高危web服务），可能会导致校内所有主机都受到挖矿病毒感染，影响学生正常上网和校外人士的参观浏览。

处置建议： 1.确定受影响的资产，并对相关恶意IP和域名设置访问限制。 2.及时对受影响的资产和与其连接的其他资产进行可疑进程检查，查杀木马病毒。可查找文件名中包含C:\windows\system32\dllhostex.exe和C:\windows\system32\secureboottheme\spoolsv.exe的文件。 3.关闭不必要的端口或服务，开启防火墙，及时检查修复系统和应用程序的漏洞，包括KB4012598、KB4012212、KB4013429、KB401318、KB4012606。 4.定期使用聚铭网络脆弱性扫描设备对校内网络资产进行漏洞检测，并及时修补漏洞。