第一时间顺利获得近期神探告警分析，发现神探AI入侵引擎、AI行为引擎以及AI威胁引擎均检测到该恶意攻击行为。

▲图1：AI威胁引擎与AI行为引擎

▲图2：AI入侵引擎

分析后发现该内网主机访问了大量恶意域名，并且下载了挖矿木马，顺利获得神探AI文件探针可以获取该主机下载的木马文件。该恶意文件hash值如下：

SHA256：34683e5d4e93e29b0d70017c92068c2c0d6bfd6f8d06b80bd291e5b84ca0462f

顺利获得分析该木马文件，发现字符串中存在矿池地址相关字符，如下图所示：

▲图3：矿池相关字符串

顺利获得查看神探异常流量检测系统，发现被木马感染主机多次访问194.195.223.249，顺利获得AI威胁引擎情报比对，判定该IP为恶意IP，置信度高。继续往下分析后，发现该挖矿木马回连恶意域名，并执行了下载行为，如下图所示：

▲图4：回连的恶意域名

3.分析结论

经过分析，确认客户主机中了挖矿木马，并顺利获得该木马建立与矿池的连接。后续需要清理主机上木马文件，检查注册表以及启动项。清理完以后，建议安装安全卫士进行实时防护，能大大降低挖矿木马入侵的可能性；其次检查主机，及时打补丁，修复相关漏洞，减少电脑被入侵的可能性。

4.价值

银河国际(中国)神探，作为一款网络全流量回溯分析产品，支持实时记录攻击报文，可顺利获得在线或下载的方式查看并分析取证报文，从而为运维人员给予威胁研判的依据，还可以基于威胁情报进行追踪溯源。同时，神探运用了人工智能技术，以资产为中心进行学习与建模，实现对已知攻击和未知威胁的精准发现并告警，实现网络安全的主动防御，给客户带来更高效、可靠的防护。