企業主機正在幫別人挖礦? – EDR防禦全紀錄! Post published:2022-05-16 Post category:資訊安全 公司內部主機明明就沒有拿來上網或是下載東西,但為什麼還是會遭到加密病毒入侵又或是被安裝挖礦軟體呢? 我們來看看實際發生的案例: 我們透過端點偵測回應系統後台發現,威脅阻擋事件大部分行為是以 powershell 的方式進行攻擊,若您的伺服器 CPU 使用率特別高,且使用進程(process)為 powershell.exe 時,那基本上可以判定,您的伺服器中了 Powershell 的挖礦病毒了! 註:Process path 使用的是 powershell.exe 我們可以從 PROCESS 欄位中找到一長串編碼字串當我們將這串編碼經過翻譯之後就會發現該編碼所執行的動作,該指令嘗試要從該特定網址去下載 bat檔案我們將這串 IP 進行分析後發現,這 IP 的風險性非常高,更進一步分析了解到該惡意網址為挖礦病毒,一旦主機並未進行阻攔則會被當作挖礦機,免費替別人賺錢! 一旦我們確認了問題之後我們可以怎麼做呢? 首先,我們應該先修改主機的最高權使用者密碼,並透過實體防火牆將相關可疑 IP 進行阻擋,同時我們也應進行防毒掃毒作業移除可疑程式,避免惡意程式橫向擴散! 攻擊不一定都是從使用者的行為觸發,駭客往往透過漏洞就直接打進企業內部,當它下載了什麼做了什麼我們只要服務可以正常運作或許發現時企業的重要資訊都已外流…看完實際案例後是否想要親自了解操作看看呢? 鼎新為您準備好了EDR資安解決方案免費體驗平台,讓您親自上手了解,點擊連結開始體驗! EDR試用申請 聯絡我們 Tags: EDR Read more articles Previous Post企業帳號安全防護秘笈 Next Post如何規劃企業資安? 先找到資安漏洞在哪! You Might Also Like 透過CDM(Cyber Defense Matrix)盤點企業自身資安防線 2022-06-15 【資訊委外】真的更省更安全嗎?評估廠商重點 2024-10-28 【勒索病毒破解方法】中勒索病毒怎麼辦?注意6大前兆! 2024-05-22