Investigando el Compromiso de Malware de Criptomonedas en un Servidor Windows

Este artículo nos ayudará a identificar posibles instancias de malware de criptomonedas.

Síntomas

Estos son algunos de los síntomas que puede presentar tu servidor en el caso de tener un criptomalware:

1. Servidor lento.
2. Alto uso de la CPU.
3. Alto uso de GPU.
4. Uso de gran ancho de banda Y conexiones de red a puntos finales inusuales

Comprobación de CPU/GPU y directorios.

1. Verifique el estado de su CPU/GPU, por lo general, la criptomoneda usa tanto la CPU como la GPU al 100 % de su capacidad.
2. Verifique "C:\Windows\system32" para archivos ".dll" creados recientemente.
3. En las propiedades de estos archivos notará que el "nombre de archivo original" era test.dll

Comprobación de servicios y programador de tareas

1. Podemos iniciar "services.msc" para ver los servicios activos en nuestro sistema.
2. Buscar servicios que no tengan descripción.
3. Al abrir nuestro Programador de tareas, podemos ver las tareas programadas para iniciarse en un momento determinado para asegurarnos de que los componentes del adware estén siempre presentes.
4. Notará que el Autor de la tarea es el grupo de administradores de servidores o SISTEMA.

Comprobando las conexiones del puerto.

1. Usando netstat o procexp podemos comprobar a qué procesos estamos conectados.
2. Debemos estar atentos a los siguientes puertos, ya que los utiliza el malware de criptomonedas:14433, 14444, 3333, 3334, 3335, 3336, 4444, 45560, 45700, 5555, 5556, 6666, 7777, 8788, 8888 , 8899, 9999

Comprobación de la utilización del ancho de banda

La utilización inesperada y sostenida del ancho de banda es a menudo un síntoma común. Debido a que los atacantes generalmente comprometen los sistemas con la intención de ejecutar un servicio de red en ellos, es posible que haya un servicio ejecutándose en el sistema, por lo que escuchar un puerto extraño podría indicar un servidor comprometido.

• Para revisar las conexiones de red para TCP, ejecute el siguiente comando en PowerShell:

  NetStat -naop 'TCP'
  

• Para revisar las conexiones de red para UDP, ejecute el siguiente comando:

  NetStat** -naop 'UDP'
  

• Para contar conexiones específicas, ejecute uno de los siguientes comandos:

  NetStat** -naop 'TCP'
  find /c ":<port>"
  

NOTA: El TCP Sysinternal view ofrece herramientas gráficas alternativas para esta revisión.

Este tipo de malware es muy difícil de encontrar ya que toma la configuración raíz como si fuera un usuario administrador y los procesos toman archivos o directorios que son utilizados por el sistema operativo.

Una buena recomendación para evitar esto es bloquear las conexiones de puertos a grupos de minería conocidos como los que se indican en este artículo, mantener nuestro software antimalware actualizado y hacer uso de la lista blanca para las aplicaciones. Si alguna vez encuentra esto Si tiene algún tipo de síntoma en su sistema, comuníquese con el soporte técnico, ya que esto podría poner en riesgo tanto al cliente como a la infraestructura del espacio de almacenamiento.

Puede consultar este artículo si desea saber cosas más específicas sobre el malware de criptomonedas:Detección de minería de criptomonedas en entornos corporativos

Artículos relacionados

Para obtener más información, consulte las siguientes fuentes:

• Investigar un servidor Windows comprometido - Rackspace
• Documentación para Sysinternals - Microsoft
• Enlace en vivo a herramientas sysinternal - SysInternals
• Sophos AntiRootkit - Sophos
• Detección de minería de criptomonedas en entornos corporativos - SansOrg
  

Use la pestaña Comentarios para hacer cualquier comentario o hacer preguntas. También puede iniciar una conversación con nosotros.