Dieser Artikel hilft uns, mögliche Fälle von Kryptowährungs-Malware zu identifizieren.
Symptome
Dies sind einige der Symptome, die Ihr Server im Fall einer Krypto-Malware aufweisen kann:
- Server läuft langsam.
- Hohe CPU-Auslastung.
- Hohe GPU-Nutzung .
- Hohe Bandbreitennutzung UND Netzwerkverbindungen zu ungewöhnlichen Endpunkten
CPU/GPU und Verzeichnisse prüfen.
- Überprüfen Sie den Status Ihrer CPU/GPU, normalerweise nutzt die Kryptowährung sowohl die CPU als auch die GPU zu 100 % aus.
- Überprüfen Sie „C:\Windows\system32“ auf kürzlich erstellte „.dll“-Dateien.
- In den Eigenschaften dieser Dateien werden Sie feststellen, dass der „ursprüngliche Dateiname“ test.dll war
Dienste und Aufgabenplaner prüfen
- Wir können „services.msc“ starten, um die aktiven Dienste auf unserem System zu sehen.
- Suchen Sie nach Diensten ohne Beschreibung.
- Wenn wir unseren Aufgabenplaner öffnen, können wir Aufgaben sehen, die zu einem bestimmten Zeitpunkt gestartet werden sollen, um sicherzustellen, dass die Adware-Komponenten immer vorhanden sind.
- Sie werden feststellen, dass der Autor der Aufgabe die Serveradministratorgruppe oder SYSTEM ist.
Überprüfe Portverbindungen.
- Mit netstat oder procexp können wir überprüfen, mit welchen Prozessen wir verbunden sind.
- Wir müssen die folgenden Ports im Auge behalten, da sie von Kryptowährungs-Malware verwendet werden:14433, 14444, 3333, 3334, 3335, 3336, 4444, 45560, 45700, 5555, 5556, 6666, 7777, 8788, 8888 , 8899, 9999
Überprüfen der Bandbreitennutzung
Eine hohe anhaltende unerwartete Bandbreitenauslastung ist häufig ein häufiges Symptom. Da Angreifer normalerweise Systeme kompromittieren, die beabsichtigen, einen Netzwerkdienst darauf auszuführen, könnte ein Dienst auf dem System ausgeführt werden, sodass das Abhören eines ungeraden Ports auf einen kompromittierten Server hinweisen könnte.
-
Um Netzwerkverbindungen auf TCP zu überprüfen, führen Sie den folgenden Befehl in PowerShell aus:
NetStat -naop 'TCP' -
Führen Sie den folgenden Befehl aus, um Netzwerkverbindungen auf UDP zu überprüfen:
NetStat** -naop 'UDP' -
Um bestimmte Verbindungen zu zählen, führen Sie einen der folgenden Befehle aus:
NetStat** -naop 'TCP' find /c ":<port>"
HINWEIS: Das Sysinterne TCP view bietet alternative grafische Tools für diese Überprüfung.
Diese Art von Malware ist sehr schwer zu finden, da sie die Root-Konfiguration übernimmt, als wäre sie ein Admin-Benutzer, und die Prozesse nehmen Dateien oder Verzeichnisse, die vom Betriebssystem verwendet werden.
Eine gute Empfehlung, um dies zu verhindern, besteht darin, die Portverbindungen zu bekannten Mining-Pools, wie in diesem Artikel angegeben, zu blockieren, unsere Antimalware-Software auf dem neuesten Stand zu halten und die Whitelist für Anwendungen zu verwenden. Wenn Sie dies jemals finden Art von Symptomen auf Ihrem System wenden Sie sich an den technischen Support, da dies sowohl den Kunden als auch die Rackspace-Infrastruktur gefährden könnte.
Sie können diesen Artikel lesen, wenn Sie mehr über Kryptowährungs-Malware erfahren möchten:Erkennung von Kryptowährungs-Mining in Unternehmensumgebungen
Verwandte Artikel
Weitere Informationen finden Sie in den folgenden Quellen:
- Untersuchen Sie einen kompromittierten Windows-Server – Rackspace
- Dokumentation zu Sysinternals - Microsoft
- Live-Link zu sysinternen Tools - SysInternals
- Sophos AntiRootkit - Sophos
- Kryptowährungs-Mining in Unternehmensumgebungen erkennen – SansOrg
Verwenden Sie die Registerkarte „Feedback“, um Kommentare abzugeben oder Fragen zu stellen. Sie können auch ein Gespräch mit uns beginnen.