记一次explorer.exe挖矿

声明

0x00前言

终端存在挖矿流量的网络通信，已经安装sysmon定位到进程是explorer.exe，已知挖矿IOC如下：

xmr-eu2[.]nanopool[.]org

内网流量设备发现很多挖矿的流量：

使用sysmon可以发现访问域名的是explorer.exe，这个程序是电脑的资源管理器，如果你打开一个文件夹就是这个程序。

另外，关于sysmon的命令简单介绍下，注意：安装sysmon有一定几率蓝屏，谨慎操作，并且使用完必须卸载。

通过sysmon监控dns请求，能够找到发起恶意域名请求的程序是explorer.exe（资源管理器）

0x01排查

1.发现sysmon发现的explorer进程存在外联情况，外联ioc：108[.]160[.]165[.]48

2.找到该进程，发现进程启动的后面带了参数，仔细一瞧，哟，这不是挖矿的参数么

3.经过多次对比验证，发现挖矿的这个explorer.exe就是正常的的资源管理器，那是怎么引起的呢？别急，接着往下看。

0x02溯源

1.主机在开始前就已经安装上了sysmon，这个时候我们重启一下主机，看下现象还会不会产生，开机后等了一两分钟，看果然被拉起了，经过漫长的sysmon日志查找，终于在程序启动前后发现了一个创建计划任务的日志，随后在这条日志前后，发现了其他东西，接着往下看。

2.终于，发现了拉起挖矿进程的日志，小黑子，露出鸡脚了吧，下面日志可以看出，explorer.exe正是上面那个创建计划任务的程序拉起来的。

3.随后在计划任务中果然发现了问题。

0x03处置

1.禁用这个计划任务。

2.删除文件，删除文件的时候发现存在隐藏权限，使用Attrib -s -a -h -r将隐藏权限删除即可删除（删除前备份）。

恶意文件md5：085d288d8f08598f69302d87a7839ffb

0x04总结

1.挖矿IOC：xmr-eu2[.]nanopool[.]org、randomxmonero[.]eu-west[.]nicehash[.]com、108[.]160[.]165[.]48。

2.恶意文件MD5:085d288d8f08598f69302d87a7839ffb。

3.表面是explorer.exe在挖矿，实则是diskparts.exe开机后先写了一次计划任务，然后再拉起的explorer进行挖矿，再拉起挖矿后父进程就自己中止了，所以只能通过sysmon抓到父进程。

4.删除计划任务和程序，重启后观察了两天，外联消失。