• 欢迎访问阿黑哥的博客,分享新老技术及精品软件
  • 技术不断,生命不息,折腾不止
  • 推荐使用Chrome浏览器访问本网站
  • 由于之前把部分图片存于七牛云,而没有绑定域名导致图片无法加载。现已部分修复
  • 如果您觉得本博客非常有趣,那就赶紧使用Ctrl+D 收藏本站吧
  • CloudCone VPS双十一超级特价,限量折扣,最低$14.11/年

与powershell挖矿病毒的抗争

Windows技术 aheig 2年前 (2018-08-29) 4251次浏览 6个评论

有几台公司的服务器直接部署暴露在了外网上。然后不出意外的,相继沦陷了。出现的状况就是服务器运行奇卡无比,动弹不得!
第一反应当然是打开任务管理器找出罪魁祸首了。我打开任务管理器,查找最多占用 CPU 的进程,发现罪魁祸首尽是 powershell.exe。我的天呐,有点想骂巨硬。但是冷静一想,事有蹊跷。微软没理由这么干啊,然后我摸摸下巴,瞬间明白了。它除了占用我大量的计算资源之外,也没干其它什么。很明显,是在挖矿。
于是,下载各种杀毒软件,反复全盘查杀!20 多个 G 的系统,硬是扫了两天一夜没都扫完,资源都被 powershell 给占了,甚是无奈啊,最后扫然也没个结果。至此,我对国内的杀毒软件绝望了!根本没被当回事儿!说实话,也难为它们了,毕竟这是微软的进程!万一错杀,也是不得了的。

好吧,靠杀毒软件是靠不住了!那就自己动手吧。经过观察,发现这破玩意儿是跟着系统一起启动的。怎么办呢?别忘了,powershell 被劫持,但是 cmd 还是能用的,那就让他们自相残杀吧!我真聪明,哈哈。
我们就写个 bat 脚本,把它添加到系统启动项里,让它无限旋环。你露头,我就弄死你。脚本如下:

@echo off
if "%1"=="h" goto begin 
start mshta vbscript:createobject("wscript.shell").run("""%~nx0"" h",0)(window.close)&&exit 
:begin
:A
taskkill /im powershell.exe  /f
goto A

这样一来,这脚本就会无限运行,只要 powershell 运行,就会直接把它咔嚓掉,经过测试,这命令一直挂在后台运行占用 2%的 CPU 资源(CPU 是 i3 7100),相比让 powershell 把整个系统资源都用尽,算是可喜可贺了。
还有别的办法,比如使用组策略。不过组策略不在域环境下的话,想大面积配置,就没那么容易了。主要是配置繁琐。在域环境下的话倒是最合适的方法。这里就不聊组策略了。如果有空、心情也好,以后会有专门的文章来写各种组策略。
工作组环境下,最适合的还是直接改注册表,劫持映像。不过这也有个缺陷,就是容易被杀毒软件解封。目前没有找到更好的十全大法。如果有人有更好的办法,也请不吝赐教,小生不胜感激。

新建一个脚本文件,将下面批处理粘贴到文件里面,执行批处理,即可禁用 powershell

if /i "powershell.exe"=="Y" goto begin 
echo powershell.exe>>%systemdrive%\WINDOWS\jzcx.txt 
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\powershell.exe" /v debugger /t reg_sz /d debugfile.exe /f

阿黑哥博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:与 powershell 挖矿病毒的抗争
喜欢 (5)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(6)个小伙伴在吐槽
  1. 大大,有教學嗎, 感謝
    KIN2019-06-25 00:43 回复
    • aheig
      把文中的脚本复制出来做成批处理文件,执行批处理就OK了。或者到“控制面板”里面把powershell关掉也可以的
      aheig2019-07-02 15:21 回复
  2. 不错,虽然治标不治本,临时的解决办法还是可以的!
    一节蔗2019-06-27 11:20 回复
  3. 把Powershelle改名字 看這篇文章 h t t p s:// www。antiy。.com/response/Analysis_of_several_events_that_use_PowerShell_to_transmit_malware。html
    威恩2019-09-11 15:31 回复
    • aheig
      这个好
      aheig2019-09-17 12:38 回复
    • aheig
      这个办法确实挺好的。我贴一下正常网址给需要的人参考吧。https://www.antiy.com/response/Analysis_of_several_events_that_use_PowerShell_to_transmit_malware.html
      aheig2019-09-17 12:40 回复