处置挖矿木马

背景信息

挖矿木马是指因挖矿软件产生的威胁事件，包括恶意域名访问、恶意样本创建、恶意IP连接等。

针对挖矿木马，云端有如下几种处置方式：

• 云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。
• 云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。
• 云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。

租户需要对“未处置”的挖矿木马事件进行处置，处置方法包括“快速处置”和“标记状态”。

• 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中挖矿木马事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。
• 标记状态：租户可手动对挖矿木马事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。

操作步骤

威胁事件支持“按事件类型”和“按终端”查看和处置。对于事件处置，两者入口不同，此处以“按事件类型”入口为例，介绍处置方法。

1. 登录华为乾坤控制台，选择“ > 我的服务 > 终端防护与响应”。
2. 在右上角菜单栏选择“威胁事件”。
3. 在“挖矿木马”区域单击“查看更多”，进入对应威胁事件的处理界面。
   图1 挖矿木马处置界面
   

4. 参考处置建议，并结合实际情况，处置挖矿事件。
   • 快速处置：默认情况下，运行中的进程和相关文件会按照“推荐处置动作”处置；如果用户期望对进程或文件进行自定义处置，可手动更改处置动作。
     • 忽略：除打上忽略标记外不进行任何处理。
     • 终止：立刻终止运行中的进程。
     • 隔离：将相关恶意文件移至该终端的隔离区，30天后自动清理。在此之前，您可以在终端详情界面的隔离区中恢复隔离文件。
     • 删除：删除由威胁事件衍生的恶意定时任务。
   • 标记状态
     • 忽略：除打上“忽略”标记外不进行任何处理。
     • 已人工处置：除打上“已人工处置”标记外不进行任何处理。
     • 未处置：除打上“未处置”标记外不进行任何处理。

   单击具体事件名称，可以查看事件详情、处置建议以及处置记录。

5. （可选）如果用户需要查看挖矿木马详细信息，请单击对应的事件名称进入事件详情页面。
   • 威胁分析：展示攻击源和目的终端，以及对应事件的安全分析、取证信息和威胁信息。
   • 路径分析：展示对应事件的攻击链和进程树。
     图2 路径分析
     

     单击“路径分析”页签后，云端将通过智能分析关联到新的风险项并自动添加到快速处置项中，可单击“快速处置”对攻击链上所有恶意进程或文件进行清理。若攻击链上涉及到暴力破解威胁事件，将一并进行处置，同时封禁外部攻击源。

     • 忽略：除打上忽略标记外不进行任何处理。
     • 终止：立刻终止运行中的进程。
     • 隔离：将相关恶意文件移至该终端的隔离区，30天后自动清理。在此之前，您可以在终端详情界面的隔离区中恢复隔离文件。
     • 删除：删除由威胁事件衍生的恶意定时任务。