进入安全中心:
进入heluosi之眼看下的网络拓扑情况:
选择检测响应中的菜单下的:
安全告警部分:
我们可以看到:
AI 如下:
[card expandable="true" defaultExpand="true"]
[title]告警解释[/title]
[content]
这是一个挖矿程序的恶意软件告警:
- 告警类型为"恶意软件",名称为"挖矿程序"。
- 可疑文件路径为/var/tmp/.kswapd00,进程启动命令行也显示它被执行。
- 检测引擎判断依据为"Miner:Linux/CoinMiner",表明它是一个Linux平台的挖矿木马。
动态沙箱日志显示:
- 文件行为特征: 释放可执行文件、读取passwd文件、添加可执行权限等。
- 静态文件特征: 包含已知挖矿软件签名、加壳混淆、内存中包含挖矿软件特征。
- 可疑行为特征: 重定向输出、文件自复制、mmap写文件等。
- 该文件匹配多个挖矿相关的YARA规则。
- 包含挖矿相关的URL。
综上,该文件匹配挖矿木马的多个静态和动态特征,可以判断它是一个加密货币挖矿程序。建议立即隔离该文件,检查服务器上是否存在挖矿程序,分析服务器是否被入侵。
MITRE ATT&CK战术
来个分析路径:
启动的是这个路径:
关闭Linux shell 试一下:
命中指标
一般行为通过Bash执行命令:
2种方法:
破坏解释器执行:
更改密码
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。