この記事は、暗号通貨マルウェアの可能性のあるインスタンスを特定するのに役立ちます。
これは、暗号化マルウェアが存在する場合にサーバーが示す可能性のある症状の一部です:
- サーバーの実行速度が遅い。
- CPU使用率が高い。
- GPUの使用率が高い。
- 高帯域使用と異常なエンドポイントへのネットワーク接続
- CPU / GPUのステータスを確認します。通常、暗号通貨はCPUとGPUの両方を100%の容量で使用します。
- 最近作成された「.dll」ファイルについては、「C:\ Windows\system32」を確認してください。
- これらのファイルのプロパティで、「元のファイル名」がtest.dllであることがわかります
- 「services.msc」を開始して、システムでアクティブなサービスを確認できます。
- 説明のないサービスを確認してください。
- タスクスケジューラを開くと、アドウェアコンポーネントが常に存在することを確認するために、特定の時間に開始されるようにスケジュールされたタスクを確認できます。
- タスクの作成者がサーバー管理者グループまたはSYSTEMであることがわかります。
- netstatまたはprocexpを使用して、接続しているプロセスを確認できます。
- 暗号通貨マルウェアによって使用される次のポートに注意する必要があります:14433、14444、3333、3334、3335、3336、4444、45560、45700、5555、5556、6666、7777、8788、8888 、8899、9999
予想外の高い帯域幅使用率が一般的な症状であることがよくあります。攻撃者は通常、ネットワークサービスを実行しようとしているシステムを侵害するため、システム上でサービスが実行されている可能性があります。そのため、奇数のポートをリッスンすると、サーバーが侵害された可能性があります。
-
TCPのネットワーク接続を確認するには、PowerShellで次のコマンドを実行します。
NetStat -naop 'TCP' -
UDPのネットワーク接続を確認するには、次のコマンドを実行します。
NetStat** -naop 'UDP' -
特定の接続をカウントするには、次のいずれかのコマンドを実行します。
NetStat** -naop 'TCP' find /c ":<port>"
注: Sysinternal TCP ビューは、このレビューのための代替のグラフィカルツールを提供します。
この種のマルウェアは、管理者ユーザーであるかのようにルート構成を取得し、プロセスはOSによって使用されるファイルまたはディレクトリを取得するため、見つけるのは非常に困難です。
これを防ぐための良い推奨事項は、この記事に記載されているような有名なマイニングプールへのポート接続をブロックし、ウイルス対策ソフトウェアを最新の状態に保ち、アプリケーションのホワイトリストを利用することです。システムのある種の症状は、技術サポートに連絡します。これは、貸衣装業者とラックスペースのインフラストラクチャの両方を破壊する可能性があるためです。
暗号通貨マルウェアについてより具体的なことを知りたい場合は、この記事をチェックしてください:企業環境での暗号通貨マイニングの検出
詳細については、次のソースを確認してください。
- 侵害されたWindowsサーバーを調査する-Rackspace
- Sysinternalsへのドキュメント-Microsoft
- sysinternalツールへのライブリンク-SysInternals
- SophosAntiRootkit-Sophos
- 企業環境での暗号通貨マイニングの検出-SansOrg
コメントや質問をするには、[フィードバック]タブを使用します。私たちと会話を始めることもできます。