最近在運(yùn)維工作發(fā)現(xiàn)一例比較有特點(diǎn)的由木馬引起的服務(wù)器故障，在處理過(guò)程中發(fā)現(xiàn)與普通的PowerShell的木馬有所不同，網(wǎng)上的通用方案并不能一次性解決。

起因是某日下午，單位一個(gè)樓層的業(yè)務(wù)部門反映生產(chǎn)業(yè)務(wù)操作十分卡頓，工程師去現(xiàn)場(chǎng)處理發(fā)現(xiàn)本地電腦操作上網(wǎng)正常，但登錄業(yè)務(wù)系統(tǒng)十分緩慢，業(yè)務(wù)軟件操作卡頓嚴(yán)重，該樓層多臺(tái)電腦都是如此，但其他樓層業(yè)務(wù)登錄正常。在后臺(tái)看到該樓層業(yè)務(wù)后臺(tái)虛擬服務(wù)器遠(yuǎn)程登錄異常，在Vcenter查看，該樓層3臺(tái)業(yè)務(wù)虛擬服務(wù)器都報(bào)CPU警示，提示虛擬CPU資源不足。

圖1 將WMI啟動(dòng)項(xiàng)刪除

控制臺(tái)進(jìn)行該虛擬服務(wù)器發(fā)現(xiàn)CPU使用率為100%，查看進(jìn)程發(fā)現(xiàn)PowerShell進(jìn)程占用了98%的CPU資源，上網(wǎng)查了一下估計(jì)有可能是PowerShell木馬引起的故障。

處理階段一：為盡快處理故障，按網(wǎng)上教程，主要由“永恒之藍(lán)”漏洞補(bǔ)丁引起，在微軟官網(wǎng)下載對(duì)應(yīng)的漏洞補(bǔ)丁（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。并下載在微軟官網(wǎng)使用Autoruns工具，選擇WMI（如圖1）將該WMI啟動(dòng)項(xiàng)刪除（該項(xiàng)底部詳細(xì)欄有“SELECT* FROM __InstanceModi ficationEvent WITHIN 5600”）。

做完相應(yīng)處理后虛擬服務(wù)的CPU的使用率立即下降，遠(yuǎn)程登錄也不卡頓了?？墒菦](méi)過(guò)多久其他樓層業(yè)務(wù)部門也反映同樣的問(wèn)題，在處理過(guò)程中，原來(lái)處理完打好補(bǔ)丁的的虛擬器的CPU占用率又上升了，沒(méi)過(guò)半個(gè)小時(shí)全網(wǎng)的虛擬服務(wù)器主機(jī)全面告警。

為應(yīng)急處置，將備用的虛擬服務(wù)器主機(jī)也加入當(dāng)前的主機(jī)群集中來(lái)暫時(shí)降低當(dāng)前主機(jī)負(fù)載，平臺(tái)CPU占用率僅有15-20%飆升到110%。此時(shí)表明，原先處理還是有漏洞，沒(méi)有全面清理干凈，在三層上如果直接封堵445端口測(cè)部分依賴于共享的業(yè)務(wù)需全面停止，會(huì)嚴(yán)重影響生產(chǎn)業(yè)務(wù)。

處理階段二：重新登錄到剛剛處理的虛擬服務(wù)器上看到PowerShell進(jìn)程又占用了98%，殺了進(jìn)程沒(méi)多久又開(kāi)啟了。木馬躲到哪里去了呢？由于PowershellMiner類的木馬沒(méi)有本地惡意文件，我們難以發(fā)覺(jué)，沒(méi)有特定的可執(zhí)行文件，大都通過(guò)shell或PHP腳本來(lái)執(zhí)行下載某類文件。

圖2 可疑的cohernece可執(zhí)行文件

圖3 木馬在任務(wù)計(jì)劃程序中添加的多個(gè)定時(shí)任務(wù)

圖4 木馬在任務(wù)計(jì)劃程序中添加的多個(gè)定時(shí)任務(wù)

首先還是在進(jìn)程里查看有沒(méi)異常的進(jìn)行文件，發(fā)現(xiàn)一個(gè)名為cohernece的可執(zhí)行文件不太對(duì)（圖 2），顯示是Get system info，取得系統(tǒng)信息，筆者查了一下是個(gè)PowerGhost類的木馬（MD5值:4fe2de6fbb278e56c23e90 432f21f6c8）。

該文件存放于電腦的Windows emp下，可笑的是還標(biāo)的是卡巴斯基公司出品！

處理過(guò)程中還發(fā)現(xiàn)其在任務(wù)計(jì)劃程序中添加了好幾個(gè)定時(shí)任務(wù)。添加的任務(wù)序列也不盡相同（如圖3、圖 4），但都指向可疑的網(wǎng)址“http://info.7h4uk.com”。從443端口上執(zhí)行相應(yīng)的PHP腳本，植入scrobj.dll文件。

在刪除了任務(wù)計(jì)劃和清除了相應(yīng)文件后，虛擬CPU的占用率再也沒(méi)有升上來(lái)，故障排除因?yàn)闀r(shí)間較緊沒(méi)有找到該P(yáng)HP的運(yùn)行痕跡，在處理某些故障服務(wù)器還發(fā)現(xiàn)有的木馬居然偽裝成google update進(jìn)程，任務(wù)計(jì)劃中也是如此。

此次木馬主要感染W(wǎng)indows 7和Windows 2008的主機(jī)，Windows 2003 因不支持Powershell功能逃過(guò)一劫。因此及時(shí)打好各類補(bǔ)丁還是有必要的，漏洞少了木馬感染的機(jī)率也相應(yīng)降低了。