我注意到,托管在 GCP 上的 Windows Server 2019 VM 的 CPU 使用率经常达到 100%,这很奇怪,于是我就开始调查。似乎有一系列重复运行的 PowerShell 命令消耗了所有的 CPU。
这些命令似乎会扫描具有特定名称的用户对象,因此它要么是 GCP 防护,要么是某种蠕虫/病毒。我跟着这些说明记录有关 PowerShell 的所有内容,但它并没有提供太多信息,因为没有脚本文件,命令作为参数传递给 PowerShell,并且它们总是由SYSTEM
用户运行。
示例命令:
CommandInvocation(Export-ModuleMember): "Export-ModuleMember"
ParameterBinding(Export-ModuleMember): name="Function"; value="Unregister-ClusteredScheduledTask"
ParameterBinding(Export-ModuleMember): name="Alias"; value="*"
Context:
Severity = Informational
Host Name = ConsoleHost
Host Version = 5.1.17763.2183
Host ID = f786eeed-384f-4544-9869-0a9e6d414274
Host Application = powershell Get-ScheduledTask | Where-Object { ($_.Principal.userid -like "*administrator*") -and (($_.Principal.LogonType -eq 'Password') -or ($_.Principal.LogonType -eq 'InteractiveOrPassword')) } | Select-Object TaskName, @{n='Execute'; e={[System.IO.Path]::GetFileName([System.Environment]::ExpandEnvironmentVariables($_.Actions.Execute).Trim(""""))}}, @{n='Arguments'; e={[System.Environment]::ExpandEnvironmentVariables($_.Actions.Arguments)}}
CommandInvocation(Out-Default): "Out-Default"
Context:
Severity = Informational
Host Name = ConsoleHost
Host Version = 5.1.17763.2183
Host ID = aa27bff6-1e9f-482f-9e6f-bfb8b0a0648a
Host Application = powershell Get-WmiObject Win32_Service | Where-Object {$_.startname -Like '*INSPECTION*'}
我尝试使用 Trend Micro Housecall 和 MBAM 扫描虚拟机,但两个程序都没有发现任何威胁,除了对端口 3389 的重复请求,这可能是暴力破解尝试。
这是攻击吗?如果是,我该如何禁用它?
答案1
看起来更像是系统日志之类的东西,好像有些事情没有按预期进行。也许这对你有帮助... https://docs.microsoft.com/en-us/powershell/module/scheduledtasks/unregister-clusteredscheduledtask?view=windowsserver2019-ps