Indagine sulla compromissione di malware di criptovaluta su un server Windows

Questo articolo ci aiuterà a identificare possibili istanze di malware di criptovaluta.

Sintomi

Questi sono alcuni dei sintomi che il tuo server potrebbe presentare in caso di presenza di un malware crittografico:

1. Server lento.
2. Utilizzo elevato della CPU.
3. Utilizzo elevato della GPU.
4. Utilizzo di banda elevata E connessioni di rete a endpoint insoliti

Controllo CPU/GPU e directory.

1. Controlla lo stato della tua CPU/GPU, di solito la criptovaluta utilizza sia la CPU che la GPU al 100% della capacità.
2. Seleziona "C:\Windows\system32" per i file ".dll" creati di recente.
3. Sulle proprietà di questi file noterai che il "nome file originale" era test.dll

Servizi di verifica e Utilità di pianificazione

1. Possiamo avviare "services.msc" per vedere i servizi attivi sul nostro sistema.
2. Cerca i servizi che non hanno una descrizione.
3. Aprendo il nostro Utilità di pianificazione possiamo vedere le attività pianificate per essere avviate a una certa ora per assicurarci che i componenti adware siano sempre presenti.
4. Noterai che l'autore dell'attività è il gruppo di amministratori dei server o il SISTEMA.

Verifica delle connessioni alle porte.

1. Utilizzando netstat o procexp possiamo controllare a quali processi siamo connessi.
2. Dobbiamo tenere d'occhio le seguenti porte poiché vengono utilizzate dal malware di criptovaluta:14433, 14444, 3333, 3334, 3335, 3336, 4444, 45560, 45700, 5555, 5556, 6666, 7777, 8788, 8888 , 8899, 9999

Verifica dell'utilizzo della larghezza di banda

Un utilizzo imprevisto della larghezza di banda elevato è spesso un sintomo comune. Poiché gli aggressori di solito compromettono i sistemi che intendono eseguire un servizio di rete su di essi, potrebbe esserci un servizio in esecuzione sul sistema, quindi l'ascolto di una porta dispari potrebbe indicare un server compromesso.

• Per esaminare le connessioni di rete per TCP, eseguire il comando seguente in PowerShell:

  NetStat -naop 'TCP'
  

• Per esaminare le connessioni di rete per UDP, esegui il comando seguente:

  NetStat** -naop 'UDP'
  

• Per contare connessioni specifiche, esegui uno dei seguenti comandi:

  NetStat** -naop 'TCP'
  find /c ":<port>"
  

NOTA: Il TCP interno di sistema view offre strumenti grafici alternativi per questa recensione.

Questo tipo di malware è molto difficile da trovare in quanto prende la configurazione di root come se fosse un utente amministratore e i processi prendono file o directory utilizzati dal sistema operativo.

Una buona raccomandazione per evitare ciò è bloccare le connessioni delle porte a pool di mining noti come quelli indicati in questo articolo, per mantenere aggiornato il nostro software antimalware e utilizzare la whitelist per le applicazioni. Se mai lo trovi tipo di sintomi sul tuo sistema contatta il supporto tecnico in quanto ciò potrebbe mettere a rischio sia il cliente che l'infrastruttura dello spazio rack.

Puoi controllare questo articolo se vuoi sapere cose più specifiche sul malware di criptovaluta:Rilevamento del mining di criptovaluta negli ambienti aziendali

Articoli correlati

Per ulteriori informazioni, consulta le seguenti fonti:

• Indaga su un server Windows compromesso - Rackspace
• Documentazione a Sysinternals - Microsoft
• Link in tempo reale agli strumenti sysinternals - SysInternals
• Sophos AntiRootkit - Sophos
• Rilevamento del mining di criptovalute negli ambienti aziendali - SansOrg
  

Utilizza la scheda Feedback per inserire commenti o porre domande. Puoi anche avviare una conversazione con noi.