gagandeep-codes/cryptojacking-incident-response

# 从 47% CPU 到加密货币挖矿攻击：我是如何从自己的笔记本电脑中清除 1,997 个恶意软件文件的 **作者：** Gagandeep Singh **项目：** 网络安全与人工智能，汉伯理工学院 **日期：** 2026 年 4 月 **标签：** `#网络安全` `#加密货币挖矿` `#应急响应` `#恶意软件分析` `#MITRE ATT&CK` ## 故事的开始 那是一个周六午夜，我注意到笔记本电脑的风扇比平时转得更响。我没有运行任何重型程序——没有游戏，没有渲染，没有虚拟机。只有一个浏览器开着几个标签页。 我出于习惯打开了任务管理器。 **CPU：48%。** 我坐直了一些。 作为汉伯理工学院网络安全与 AI 专业的学生，无法解释的 48% CPU 激增不是可以忽略的事情，而是需要调查的事情。接下来是三个小时的深入调查，最终清除了 **1,997 个恶意软件文件**，确认了一个 Monero 加密货币挖矿程序、一个密码窃取程序，以及对自己过去的一次诚实反思。 事情是这样的发生的。 ## 步骤 1：初步检测 我在任务管理器中首先注意到的是两个名为 `AddInProcess.exe` 的进程——一个占用 28.8% CPU，另一个占用 18.7%。加起来几乎占用了 CPU 的一半。 `AddInProcess.exe` 是合法的 Microsoft .NET 主机进程，用于运行 Office 和 Visual Studio 的插件。它由 Microsoft 签名，位于系统文件夹中。大多数人看到它就会继续使用。 但是有两个，同时占用 CPU，而我并没有使用任何 Office 应用程序？ 这很可疑。 ## 步骤 2：验证文件 我右键单击该进程，选择 **"打开文件位置"**。它带我到： C:\Windows\Microsoft.NET\Framework64\v4.0.30319\AddInProcess.exe 这是合法的 Microsoft 路径。所以文件本身不是假的。 大约一分钟，我以为我错了。也许是 iCloud 的 Outlook 集成出了问题。这是一个已知的问题。 然后我决定进一步调查。 ## 步骤 3：确凿证据 在任务管理器 → 详细信息选项卡中，我添加了 **"命令行"** 列。这显示了进程启动时使用的参数。 我看到的内容让我停了下来：AddInProcess.exe --algo rx/0 -o xmr-us-east1.nanopool.org:10300 ... 让我解码一下： - `--algo rx/0` → **RandomX 算法**，用于挖掘 **Monero (XMR)** - `-o xmr-us-east1.nanopool.org` → **Nanopool**，一个著名的 Monero 挖矿池 - `xmr` → Monero，一种注重隐私的加密货币，深受攻击者青睐 这不是 iCloud。这不是有问题的插件。 **有人正在用我的笔记本电脑为他们挖掘加密货币。** 这被称为 **加密货币挖矿攻击**——这里使用的技术是 **LOLBin 滥用**（利用系统自带二进制文件）的经典例子。攻击者没有投放自己的挖矿程序（因为杀毒软件会检测到），而是滥用了一个合法的、有签名的 Microsoft 二进制文件来进行挖矿。在任务管理器看来，它只是一个普通的 Windows 进程。 聪明。确认是恶意的。 ## 步骤 4：确认持久性 我终止了两个 `AddInProcess.exe` 进程。它们在几秒钟内就回来了——带有新的 PID。 有什么东西在自动启动它们。恶意软件具有 **持久性**。 我尝试通过任务计划程序进行调查。当我打开它时，出现了一个错误： 本身就很可疑。真正的计划任务在 `\Microsoft\Windows\` 文件夹结构中有正确的名称——永远不会只是 `Microsoft` 作为顶级项目。恶意软件可能正在动态创建、执行和删除任务以逃避检测。 在这一点上，我停止了手动搜索，转而使用正确的工具。 ## 步骤 5：部署 Malwarebytes 我下载了 Malwarebytes（免费版）并开始威胁扫描。 在几秒钟内，在扫描完成之前，实时保护捕获到了某些东西： 这就是持久性机制。一个隐藏在 AppData 中的假可执行文件，伪装在一个名为 "Values" 的无害文件夹中，伪装成 `Current.exe`。 第二个警告几乎立即出现： **第二个恶意软件**——这次是伪装成 `conhost.exe`（一个合法的 Windows 进程）但位于 AppData 而不是 `System32` 中。它正试图联系其命令与控制 (C2) 服务器。 两个妥协指标，在实时检测中被捕获。 ## 步骤 6：完整扫描 然后完整的扫描结果出来了。 **检测到 1,997 个威胁。** 不是 5 个。不是 50 个。**一千九百九十七个。** 检测结果分为明确的类别： | 威胁家族 | 是什么 | |---|---| | `Trojan.Miner.DDS` | 加密货币挖矿程序 | | `Trojan.MCrypt.MSIL.Generic` | 加密货币挖矿程序模块 | | `Trojan.PCrypt.MSIL` | **密码窃取程序** | | `PUP.Optional.MediaArena.DDS` | 捆绑的广告软件 | | `Trojan.Agent.Gen` | 通用木马组件 | 位置包括： - `C:\Users\[user]\AppData\Roaming\`（用户级持久性） - `C:\Windows\SysWOW64\`（系统级——令人担忧） - `C:\Windows\Temp\`（暂存区域） - `HKLM\SOFTWARE\...`（注册表持久性） 我选择了全部 1,997 项并点击 **隔离**。 ## 步骤 7：后果 隔离并重启后，我再次检查了任务管理器。 **CPU：14%。内存：40%。** 两个 `AddInProcess.exe` 进程消失了。风扇安静了。笔记本电脑再次感觉很快——真正的快，就像以前一样。 但缓解伴随着一个更艰难的认识。 ## 这是怎么发生的？ 两年前，在我开始学习网络安全之前，我在这台笔记本电脑上安装了 **破解软件**。 这是诚实的起源。没有神秘的零日漏洞，没有复杂的网络钓鱼，没有供应链攻击。只是一个年轻的我以为我得到了"免费"软件，但实际上我付出的是我的 CPU 周期、我的密码和我的隐私。 两年来，攻击者一直在我的机器上安插了他们的东西。他们正在： - 用我的电力和我的硬件挖掘 Monero - 可能正在从我的浏览器中窃取密码 - 建立我从未注意到的持久性 加密货币挖矿程序只是最明显的症状。`Trojan.PCrypt.MSIL`——密码窃取程序——是任何读到这篇文章的人都应该感到害怕的部分。保存的浏览器密码。银行会话。学校门户凭证。所有这些可能在我注意到 CPU 激增之前很久就被窃取了。 ## 映射到 MITRE ATT&CK 对于任何学习网络安全的人来说，以下是此事件如何映射到 **MITRE ATT&CK 框架**： | 战术 | 技术 | 证据 | |---|---|---| | **初始访问** | T1189 — 路过式下载（可能） | 破解软件安装程序 | | **执行** | T1218 — 有符号二进制代理执行 | 滥用 `AddInProcess.exe` | | **持久性** | T1547 — 启动或登录自启动 | AppData\Roaming 中的 `Current.exe` | | **防御规避** | T1036 — 伪装 | 假的 `conhost.exe` 位于 System32 之外 | | **凭证访问** | T1555 — 密码存储中的凭证 | `Trojan.PCrypt.MSIL` | | **命令与控制** | T1071 — 应用层协议 | C2 到 `154.12.226.43:56002` | | **影响** | T1496 — 资源劫持 | 通过 Nanopool 挖掘 Monero | 这是真实的威胁情报——不是来自教科书，而是来自我自己的笔记本电脑。 ## 妥协指标 (IOC) 对于其他防御者： **网络 IOC：** - IP：`154.12.226.43:56002` - 域名：`xmr-us-east1.nanopool.org` - 挖矿算法：`rx/0` (RandomX) **文件 IOC：** - `%APPDATA%\Roaming\Values\Current.exe` — Trojan.MCrypt.MSIL.Generic - `%APPDATA%\Local\...\conhost.exe` — 伪装进程 **行为 IOC：** - 无法解释的持续 40%+ CPU 使用率 - `AddInProcess.exe` 带有 `--algo` 参数运行 - 终止后进程自动重新启动 - 具有非标准名称的计划任务 ## 教训 **1. 破解软件永远不是免费的。** 它以你的安全、你的隐私为代价，最终当你必须清理烂摊子时，还会浪费你的时间。使用学生许可证（大多数学院包括汉伯理工学院都提供开源替代方案，或存钱购买正版软件。 **2. 相信你的直觉。** 无法解释的 48% CPU 激增是一个信号，不是巧合。去调查。 **3. 命令行会说真话。** 进程名会骗人。文件路径可以被伪造。但命令行参数显示一个进程实际上在做什么。 **4. LOLBin 是真实存在的。** 攻击者并不总是投放新的恶意软件。他们经常滥用已经存在于你系统上的东西。这意味着仅靠基于签名的检测是不够的——行为分析很重要。 **5. 清理 ≠ 信任。** 即使 Malwarebytes 删除了 1,997 个文件，我也永远无法 100% 确定这个 Windows 安装是干净的。两年的妥协可能留下深层痕迹。正确的做法是完全重置 Windows。 ## 下一步 本周我将进行干净的 Windows 重新安装。只备份文档（没有可执行文件，没有 AppData，没有浏览器配置文件）。完全重新映像驱动器。只重新安装正版软件。设置密码管理器。启用所有地方的 2FA。像专业人士对待工作笔记本电脑一样对待我的个人设备——因为它本来就应该是这样。 这次经历没有动摇我对网络安全的兴趣。它加深了它。从"为什么我的风扇很响"到在一夜之间将自己的真实攻击映射到 MITRE ATT&CK 上，用自己的证据，这确实有一些强大的东西。 如果你是一名学生、一名招聘经理，或者只是一个曾经下载过破解版 Photoshop 的人——我希望这篇报告对你有用。 如果你正在想，"这可能正在我的笔记本电脑上发生吗？"——打开任务管理器。检查你的 CPU。看看命令行。 你可能会对你发现的东西感到惊讶。 ## 关于作者 **Gagandeep Singh** 是多伦多加拿大 **汉伯理工学院** 网络安全与 AI 专业的学生。他的目标是毕业后从事 SOC 分析师和应急响应工作。这个案例研究是在他自己的个人设备上进行的，并在每个阶段都进行了文档记录。 *你是否处理过类似的事件？觉得这篇报告有用？请留言——我很想听听其他防御者的故事。*

标签：Cloudflare, Conpot, CPU异常, Cryptojacking, DAST, DNS 反向解析, HTTP工具, IOC, MITRE ATT&CK, Monero, Windows安全, 个人设备安全, 密码窃取, 恶意软件分析, 恶意软件清除, 挖矿木马, 数字取证, 无线安全, 终端安全, 网络安全, 自动化脚本, 进程分析, 隐私保护