接到这个安全应急响应任务是在夏末一个燥热的日子里，客户是某省级政府部门，其主机操作系统是Windows，已经部署有某安全厂商的主机安全产品，在找到我们应急的时候，该安全厂商的安全产品已经被击穿，无法清除感染的恶意代码文件。

线索追查

和寻医问诊类似，首先需要对客户的主机“症状”进行判断，该客户的主机表现形式为：恶意代码程序会启用多个进程占用CPU资源，导致CPU使用率长期处于100%，影响正常业务的运行，且该恶意代码程序启动的进程在被强制关闭后能够自动重启，无法被根除。

以上是整个事件的“症状”。

由于客户物理距离上的遥远，这次应急响应任务不得不采用远程协助的方式进行，具体方式为先远程登录一台客户的跳板机，再通过该跳板机排查业务相关主机存在的问题。

根据经验，首先检查Windows的计划任务，一下子就发现了问题，具体截图如下：

映入眼帘就是这个blackball的计划任务，这使我一下子就想起了某安全威胁情报中心的一篇文章《永恒之蓝木马下载器发起 “黑球”行动，新增SMBGhost漏洞检测能力》，该文将此类攻击事件命名为“黑球”行动。

攻击方式为通过钓鱼、爆破、漏洞利用等方式发起攻击，攻击成功后从C2地址下载攻击模块，通过下载的攻击模块发起持久性攻击，继续下载其他攻击模块，通过漏洞利用、爆破、钓鱼等方式传播，将挖矿程序注入Powershell.exe运行，并且安装没有实际作用的计划任务blackball。

经过调查，主机实际情况与情报有些微的差距，攻击程序采用随机名称技术来隐藏自身，每次生成一个计划任务和*.exe的文件，通过执行*.exe，实现重复传播和注入挖矿程序。一段时间后即能在主机中生成多个计划任务、*.exe文件和多个Powershell.exe程序，导致占用CPU资源，使CPU使用率长期处于100%。截图如下：

基于以上情报和分析，设计基本处理思路：

1、禁用进程创建后，结束被恶意代码注入的进程，删除相关启动项，计划任务，删除恶意代码文件，删除恶意代码创建的临时文件。

2、修改口令、安装补丁修复MS17-010、CVE-2020-0796等漏洞，防止被持久性攻击重新感染。

3、重新启动业务持续，持续监测修复效果。

执行修复

第一步，使用安芯网盾系统信息检测工具-【PCHunter】（843K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2L8Y4S2A6L8Y4y4W2j5#2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6i4N6Q4x3V1k6S2L8Y4c8A6M7X3!0G2N6r3E0A6N6q4)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4#2!0m8y4W2)9^5x3g2!0q4y4W2!0m8c8q4!0m8x3W2!0q4z5q4!0n7c8W2)9&6b7W2!0q4y4#2!0m8z5q4)9^5b7W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9^5z5q4)9&6b7W2!0q4y4g2!0n7b7W2!0n7b7g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4#2)9^5y4q4!0n7y4W2!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4g2)9^5y4W2)9^5c8q4!0q4y4q4!0n7c8q4!0n7c8W2!0q4y4#2)9&6y4q4!0m8z5q4m8o6d9s2g2F1N6r3g2J5i4@1f1#2i4K6S2q4i4@1u0n7i4@1f1%4i4@1u0n7i4K6V1K6i4@1f1$3i4K6W2p5i4K6W2r3i4@1f1$3i4K6R3I4i4@1t1$3i4@1f1$3i4K6R3@1i4K6S2r3i4@1f1@1i4@1u0n7i4@1p5K6i4@1f1%4i4@1p5H3i4K6R3I4i4@1f1#2i4K6V1H3i4@1q4r3i4@1f1#2i4K6S2m8i4@1p5^5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1%4i4@1p5^5i4K6S2n7i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4K6S2o6i4K6R3#2i4@1f1$3i4K6S2n7i4@1q4o6j5$3#2V1i4@1f1K6i4K6R3H3i4K6R3I4f1r3!0%4k6i4u0K6K9r3g2D9L8q4!0q4x3#2)9^5x3q4)9^5x3g2)9J5b7g2)9J5k6h3g2^5k6g2!0q4y4#2!0m8c8q4)9^5z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4#2)9^5y4q4!0n7y4W2!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4W2!0n7z5q4)9^5y4g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4W2)9^5x3g2!0n7y4W2!0q4y4W2)9^5y4q4)9^5c8W2!0q4y4q4!0n7b7W2!0m8x3#2!0q4y4#2!0m8x3q4)9^5x3g2!0q4y4g2)9^5z5q4)9&6b7W2!0q4y4g2!0n7b7W2!0n7b7g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4z5q4!0m8c8g2!0m8x3g2!0q4y4g2)9^5z5q4)9&6x3W2!0q4y4q4!0n7b7W2!0n7b7W2!0q4y4g2)9^5b7g2!0m8x3g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4W2)9&6b7#2)9^5c8q4!0q4y4g2)9^5b7g2!0m8x3g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4g2)9&6x3q4!0m8c8W2!0q4y4g2)9^5b7g2!0m8z5q4!0q4z5g2!0m8x3g2!0n7z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0m8y4q4)9^5y4q4!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4g2!0m8c8g2)9^5b7#2!0q4y4W2!0m8c8W2)9&6y4g2!0q4y4q4!0n7z5g2)9^5b7W2!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4g2)9^5c8W2)9&6y4W2!0q4y4W2!0n7y4W2)9^5z5q4m8o6d9s2g2F1N6r3g2J5i4@1f1#2i4@1q4r3i4@1t1&6i4@1f1#2i4K6R3^5i4K6W2n7i4@1f1#2i4@1u0n7i4@1u0m8i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1%4i4@1p5^5i4K6S2n7i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1&6i4K6V1&6i4K6V1H3i4@1f1#2i4K6R3^5i4@1t1$3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6R3^5i4@1q4m8i4@1f1#2i4K6W2n7i4@1u0q4i4@1f1#2i4@1p5$3i4K6R3J5i4@1f1@1i4@1t1^5i4K6S2n7i4@1g2r3i4@1u0o6i4K6W2m8

​

第二步，清理恶意代码创建的程序文件，临时文件，这些文件一般位于C:\Windows，C:\Windows\system32，C:\Windows\temp等位置，截图如下：

​

第三步，安装系统补丁，安装系统补丁可能会导致兼容性问题，因此需要先在测试环境测试过业务系统的兼容性后再执行。全部执行完毕之后，让业务系统正常运行，每隔一段时间检查一遍，确认恶意代码成功清除并且不再被重新感染。

经历了一天高强度的应急响应处置之后，恶意代码清除完毕，但在第二天的检查中发现*.exe、cmd、Powershell等进程均重新开始运行并且占用系统资源，经过一段时间的重新排查和分析，判断WMI可能隐藏有恶意脚本，对WMI进行检查，果然发现恶意脚本的踪影，截图如下：

​

事后感言

客户核心服务器感染病毒，外部攻击利用永恒之黑漏洞进入，通过无文件攻击进行挖矿，服务器性能被消耗，严重影响业务运行。虽然安装了传统防护软件，但病毒依然成功运行。安芯网盾技术服务团队通过系统信息检测工具（PCHunter）对病毒样板进行了清除，帮助客户解除了危机，但是免不了一场心惊胆战。

业务服务器如果被攻陷，其对应的业务系统受到的影响或者损失是无法估量的。当前的安全威胁不断升级，业务服务器面临源源不断的新的漏洞风险，内存保护系统可以在未打补丁的情况下进行有效防御。​​​​