文档首页/ 华为乾坤/ 安全云服务/ 终端防护与响应/ 用户指南/ 处置威胁事件/ 处置挖矿木马
更新时间:2026-02-10 GMT+08:00
查看PDF
分享

处置挖矿木马

前提条件

背景信息

挖矿木马是指因挖矿软件产生的威胁事件,包括恶意域名访问、恶意样本创建、恶意IP连接等。

针对挖矿木马,云端有如下几种处置方式:

  • 云端智能分析后推荐处置规则,并成功终止进程和隔离相关文件,其状态显示为“处置成功”
  • 云端智能分析后无法推荐处置规则,由安全运营专家进一步分析后手动下发处置规则,成功终止进程和隔离相关文件,其状态显示为“处置成功”
  • 云端智能分析和安全运营专家根据现有信息无法处置,需要租户进行人工处置时,其状态显示为“未处置”

租户需要对“未处置”的挖矿木马事件进行处置,处置方法包括“快速处置”和“标记状态”。

  • 快速处置:使用系统推荐的快速处置方式,租户需核实确认并进行处置下发。处置过程中挖矿木马事件显示为“处置中”,处置成功则返回状态“处置成功”,处置失败则返回状态“处置失败”
  • 标记状态:租户可手动对挖矿木马事件进行标记,标记后处置状态分别显示为“忽略”“已修复”
  • 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。(只在服务首页入口的威胁事件列表中可操作

操作步骤

威胁事件支持“按事件类型”“按终端”查看和处置。对于事件处置,两者入口不同,此处以“按事件类型”入口为例,介绍处置方法。

  1. 参考操作入口介绍选择一种操作入口,进入“病毒文件”的威胁事件列表。

    本章节以“智能终端安全服务”入口为例。

  2. 在“挖矿木马”区域单击“查看更多”,进入对应威胁事件的处理界面。

    图1 挖矿木马处置界面

  3. 按需筛选待处置事件,参考“处置建议”并结合实际情况,处置挖矿木马事件。

    完成处置后,可以在事件详情页面的“处置记录”页签查看处置明细。

    表1 挖矿木马事件的处置方法说明

    处置方法

    使用场景

    快速处置

    系统推荐的快速处置方式,您需要核实确认并进行处置下发。默认情况下,运行中的进程和相关文件会按照“推荐处置动作”处置;如果用户期望对进程或文件进行自定义处置,可手动更改处置动作。

    • 忽略:除打上忽略标记外不进行任何处理。
    • 终止:立刻终止运行中的进程。
    • 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。
    • 删除:删除由威胁事件衍生的恶意定时任务。

    加入白名单

    将误报的挖矿木马事件文件进行加入白名单操作。

    • 同时处置其他终端上相同SHA256值的文件:勾选此项后,支持同步处置其他HiSec Endpoint Agent上有相同SHA256值的文件,并统一标记为“已人工处置”。
    • 是否需要应用到自定义的资产组:勾选此项后,支持将此条白名单策略应用到自定义的资产组中。

    若白名单添加成功,可在黑白名单策略中查看。

    标记状态
    • 忽略:经过排查后发现事件无需处理或者是误报时,可以将此事件标记为“忽略”,在HiSec Endpoint智能终端安全系统中不进行其他任何处理。标记为“忽略”后,后续无需再关注此事件。
    • 已人工处置:经过排查、处理事件后,可以将此事件标记为“已人工处置”,在HiSec Endpoint智能终端安全系统中不进行其他任何处理。
    • 未处置:经过确认事件后,可以将误打“已人工处置”标签的威胁事件标记为“未处置”,在HiSec Endpoint智能终端安全系统中不进行其他任何处理。

    网络隔离

    对存在风险的终端进行网络隔离。在HiSec Endpoint Agent的“安全防护 > 前往安全防护中心 > 隔离封禁区 > 隔离区”,在隔离终端列表可以执行“恢复”操作。

  4. (可选)单击事件名称,可进入事件详情页面。

    图2 挖矿木马事件详情
    表2 事件详情页面说明

    模块

    说明

    事件详情

    处置方法请参见表1

    处置建议&处置记录

    提供处置建议,并可通过单击“处置记录”查看处置明细。

    威胁分析&路径分析

    按需查看挖矿木马事件溯源信息,详见5

  5. (可选)如果用户需要查看溯源信息,在挖矿木马事件详情界面中,单击“威胁分析”和“路径分析”。

    • 威胁分析:展示攻击源和目的终端,以及对应事件的安全分析、取证信息和威胁信息。
      • 安全分析:展示该事件的检测原理及风险危害。
      • 取证信息:检出该挖矿木马事件时的终端信息、进程信息和行为信息。
      • 威胁信息:若该事件命中威胁信息库,展示具体数据;否则为空。
    • 路径分析:展示对应事件的攻击链和进程树。
      图3 路径分析

      单击“路径分析”页签后,智能终端安全服务将通过智能分析关联到新的风险项并自动添加到快速处置项中,可单击“快速处置”对攻击链上所有恶意进程或文件进行清理。若攻击链上涉及到暴力破解威胁事件,将一并进行处置,同时封禁外部攻击源。

      • 忽略:除打上忽略标记外不进行任何处理。
      • 终止:立刻终止运行中的进程。
      • 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。
      • 删除:删除由威胁事件衍生的恶意定时任务。

相关操作

挖矿木马事件支持导出,单次最多可导出10万条数据。
  • 导出全量挖矿木马事件列表:在挖矿木马事件列表中,按需筛选后,单击“导出”,选择“导出全部”。
  • 导出部分挖矿木马事件列表:在挖矿木马事件列表中,按需筛选后,勾选部分数据,单击“导出”,选择“导出选中”。
父主题: 处置威胁事件

相关文档