超融合检测探针系统(CS)又立功了

发布时间 2019-01-15

说到 “又” 立功
好汉不得不提一下

去年的 英勇 事件


2018年7月,应用户要求,超融合检测探针系统(以下简称CS系统)参加了关键基础设施保障任务。整个任务执行过程中,CS系统精确检测攻击上万次,帮助用户取得了优异成绩,获得了用户的好评,用户还为CS系统颁发了“奖状”。
 

 


那这次 立功 又是什么情况呢?
请继续往下看……



发现“挖矿事件” 


近期某用户采购了一批CS系统,在2019年1月11号对CS系统实施部署,部署当天就告警了大量“TCP_木马_CoinMiner_尝试连接矿池”攻击事件。



产品实施人员立即将此情况上报至用户,并协调启明星辰安全分析专家对告警事件进行分析,安全专家从告警事件返回的特征参数判断,初步确认为用户的主机被植入了XMRig(门罗币挖矿木马程序)。
 


木马病毒种类繁多,XMRig挖矿木马程序仅仅属于其中一类,XMRig木马并非以破坏为目的,而是出于“门罗币”“比特币”等虚拟币价格不菲,通过XMRig木马借助服务器资源挖取虚拟币。

 


安全专家认为,如果CS系统告警准确,那么目的IP(94.130.64.225)应该存在很大问题。果不其然,专家通过启明星辰威胁情报平台VenusEye对目的IP进行查询,发现该IP已存在诸多不良记录。

 

 
 “XMRig”露出真面目 

经过安全专家的上述分析,虽然可以初步判定用户服务器被植入了XMRig挖矿木马程序,但想要完全确认XMRig木马的存在,还需要找到这台受害服务器。

安全专家向用户提出申请,经用户同意,获得了受害服务器的访问权限,通过查看受害主机的process信息,发现了XMRig进程的存在。数据显示,XMRig程序占用了服务器的大量资源,直接影响了服务器正常业务的运行。

通过XMRig木马的挖矿行为,再次证明了CS系统的攻击检测能力。
 


 消灭“XMRig”,拯救用户服务器 

既然都发现了XMRig木马的存在,肯定不能善罢甘休。下面是对XMRig木马程序停止运行的简单处理过程。

▶ 删除系统的计划任务





▶ 删除木马创建的秘钥文件





▶ 修复SSH配置项并重启sshd服务


▶ 查看系统启动脚本,发现xm.sevice程序





▶ 停止程序启动并删除脚本程序

 




最后reboot服务器,确认XMRig程序不再运行,全部搞定。


启明星辰网络流量超融合检测探针系统采用特征检测技术、流量检测技术、威胁情报技术、异常行为检测技术、基线技术、静态APT技术等多种技术相结合,通过对网络流量的深度包解析和流解析,可以实现对攻击行为、业务流行为的可视化显示,并通过攻击回溯、行为关联和原始报文存储实现对整个攻击过程的回溯分析,追踪取证。目前CS系统已经广泛应用于多个行业,CS系统依托自己出色的超融合检测能力,得到了用户的一致认可。