公司內部主機明明就沒有拿來上網或是下載東西,但為什麼還是會遭到加密病毒入侵又或是被安裝挖礦軟體呢? 我們來看看實際發生的案例:
我們透過端點偵測回應系統後台發現,威脅阻擋事件大部分行為是以 powershell 的方式進行攻擊,若您的伺服器 CPU 使用率特別高,且使用進程(process)為 powershell.exe 時,那基本上可以判定,您的伺服器中了 Powershell 的挖礦病毒了!
註:Process path 使用的是 powershell.exe
我們可以從 PROCESS 欄位中找到一長串編碼字串
當我們將這串編碼經過翻譯之後就會發現該編碼所執行的動作,該指令嘗試要從該特定網址去下載 bat檔案
我們將這串 IP 進行分析後發現,這 IP 的風險性非常高,更進一步分析了解到該惡意網址為挖礦病毒,一旦主機並未進行阻攔則會被當作挖礦機,免費替別人賺錢!
一旦我們確認了問題之後我們可以怎麼做呢?
首先,我們應該先修改主機的最高權使用者密碼,並透過實體防火牆將相關可疑 IP 進行阻擋,同時我們也應進行防毒掃毒作業移除可疑程式,避免惡意程式橫向擴散!
攻擊不一定都是從使用者的行為觸發,駭客往往透過漏洞就直接打進企業內部,當它下載了什麼做了什麼我們只要服務可以正常運作或許發現時企業的重要資訊都已外流…看完實際案例後是否想要親自了解操作看看呢? 鼎新為您準備好了EDR資安解決方案免費體驗平台,讓您親自上手了解,點擊連結開始體驗!
