Enquête sur la compromission d'un logiciel malveillant de crypto-monnaie sur un serveur Windows

Cet article nous aidera à identifier les instances possibles de logiciels malveillants de crypto-monnaie.

Symptômes

Voici quelques-uns des symptômes que votre serveur peut présenter en cas de présence d'un crypto malware :

1. Serveur lent.
2. Utilisation élevée du processeur.
3. Utilisation élevée du GPU.
4. Utilisation élevée de la bande passante ET connexions réseau à des points de terminaison inhabituels

Vérification du CPU/GPU et des répertoires.

1. Vérifiez l'état de votre CPU/GPU, généralement la crypto-monnaie utilise à la fois le CPU et le GPU à 100 % de sa capacité.
2. Vérifiez "C:\Windows\system32" pour les fichiers ".dll" récemment créés.
3. Sur les propriétés de ces fichiers, vous remarquerez que le "nom de fichier d'origine" était test.dll

Vérification des services et planificateur de tâches

1. Nous pouvons démarrer "services.msc" pour voir les services actifs sur notre système.
2. Recherchez les services qui n'ont pas de description.
3. En ouvrant notre planificateur de tâches, nous pouvons voir les tâches programmées pour être démarrées à une certaine heure pour nous assurer que les composants du logiciel publicitaire sont toujours présents.
4. Vous remarquerez que l'auteur de la tâche est le groupe d'administrateurs de serveurs ou SYSTEM.

Vérification des connexions de port.

1. Avec netstat ou procexp, nous pouvons vérifier à quels processus nous sommes connectés.
2. Nous devons garder un œil sur les ports suivants car ils sont utilisés par les logiciels malveillants de crypto-monnaie :14433, 14444, 3333, 3334, 3335, 3336, 4444, 45560, 45700, 5555, 5556, 6666, 7777, 8788, 8888 , 8899, 9999

Vérification de l'utilisation de la bande passante

Une utilisation inattendue et soutenue de la bande passante est souvent un symptôme courant. Étant donné que les attaquants compromettent généralement les systèmes dans l'intention d'y exécuter un service réseau, un service peut être en cours d'exécution sur le système. L'écoute d'un port étrange peut donc indiquer un serveur compromis.

• Pour examiner les connexions réseau pour TCP, exécutez la commande suivante dans PowerShell :

  NetStat -naop 'TCP'
  

• Pour vérifier les connexions réseau pour UDP, exécutez la commande suivante :

  NetStat** -naop 'UDP'
  

• Pour compter des connexions spécifiques, exécutez l'une des commandes suivantes :

  NetStat** -naop 'TCP'
  find /c ":<port>"
  

REMARQUE : Le TCP Sysinternal view offre des outils graphiques alternatifs pour cette revue.

Ce type de malware est très difficile à trouver car il prend la configuration racine comme s'il s'agissait d'un utilisateur administrateur, et les processus prennent des fichiers ou des répertoires utilisés par le système d'exploitation.

Une bonne recommandation pour éviter cela est de bloquer les connexions de port aux pools de minage bien connus comme ceux indiqués dans cet article, de garder notre logiciel antimalware à jour et d'utiliser la liste blanche pour les applications. Si jamais vous trouvez cela type de symptômes sur votre système contactez le support technique, car cela pourrait endommager à la fois l'infrastructure du client et de l'espace rack.

Vous pouvez consulter cet article si vous souhaitez en savoir plus sur les logiciels malveillants de crypto-monnaie :Détection de l'extraction de crypto-monnaie dans les environnements d'entreprise

Articles liés

Pour plus d'informations, consultez les sources suivantes :

• Enquêter sur un serveur Windows compromis – Rackspace
• Documentation vers Sysinternals – Microsoft
• Lien en direct vers les outils sysinternal - SysInternals
• Sophos AntiRootkit - Sophos
• Détection de l'extraction de cryptomonnaies dans les environnements d'entreprise – SansOrg
  

Utilisez l'onglet Commentaires pour faire des commentaires ou poser des questions. Vous pouvez également démarrer une conversation avec nous.