1前言
在一个恬静的午后,微步情报局捕获一起僵尸网络攻击活动。此次攻击始于微步在线主机威胁检测与响应平台OneEDR(下文简称OneEDR)监测到xmirg的木马进程告警信息,微步情报局的安全研究员第一时间针对此项告警展开详细技术分析。
根据文件名称,研究人员将本次涉事恶意木马判定为与挖矿相关的木马。该木马使用了SHC加密来躲避安全软件的检测。SHC是一个可以把shell脚本混淆加密打包成二进制文件的工具,该静态文件查看二进制文件中几乎没有看见shell脚本的特征。根据本次攻击事件可以发现,目前有不少黑客通过第三方工具对木马加密,从而躲过安全软件的检测。
2告警排查分析
2.1告警详情分析
点击主机详情,发现有多个可疑下载以及文件路径异常。
点击其中一种可疑告警信息查看详情,发现主机从