文章总结： 本文档描述了一个恶意宏与挖矿程序的应急响应实战流程。内容包括识别恶意进程32th4ckm3.exe、C2连接、恶意宏文档及利用certutil下载的行为。处置阶段需清除Temp目录文件和注册表DefaultApp持久化项。事后阶段建议通过部署EDR、实施浏览控制、禁用宏及安全培训来优化响应计划，增强组织安全韧性。 综合评分： 85 文章分类： 应急响应,恶意软件,实战经验,安全培训

Incident Response Process

原创

漫路修行 漫路修行

微痕鉴远

2026年2月5日 20:43 广东

Detection and Analysis

What is the name of the process active in the attached VM that we suspect could be a miner?

32th4ckm3.exe

What is the combination IP:port of the C2 server of the malware?

netstat -ano | findstr 3628

What is the name of the document containing the malicious macro?

edge://downloads/all

What is the website from which the miner was downloaded?

What is the utility that the macro leveraged to download the malware?

certutil

Containment, Eradication, and Recovery

Which folder should we navigate to in order to find and delete the malicious process? (Full path)

C:\Users\TryCleanUser\AppData\Local\Temp\2

In the Run registry key, what is the name of the string value that has been added by the miner for persistence?

DefaultApp

Closing the Cycle

事件响应生命周期中的事后活动阶段至关重要，其重点在于从事件中吸取经验教训，以改进未来的响应工作并提升整体安全态势。该阶段包括对事件进行全面审查，记录经验教训，并将这些见解整合到准备阶段制定的事件响应计划 (IRP) 中。通过这种方式，组织可以持续提升应对未来威胁的准备度和韧性。

回到准备阶段

#

准备阶段是 NIST 事件响应生命周期和 SANS 事件响应 101 中最基础、最关键的步骤，但尽管其重要性不容忽视。本质上，该阶段涉及制定全面的事件响应计划（IRP），这对于确保组织能够有效应对网络安全事件至关重要。

每次事件结束后，应利用事后活动步骤中获得的见解，将事件响应计划整合到最初准备阶段制定的计划中。

在我们的设想中，我们可以建议将以下内容整合到我们组织的计划中：

• 实施 EDR 解决方案，能够检测我们刚刚面临的那种威胁（加密货币挖矿程序和恶意宏）。
• 实施网络浏览控制系统，防止用户访问不安全的网站。
• 例如，通过强制性培训，提高员工对启用宏的 Office 文件潜在威胁以及如何识别可疑链接的认识。
• 讨论实施阻止宏执行的政策作为应对措施的方法，确保这不会扰乱正常的业务运营。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微痕鉴远 漫路修行 漫路修行《Incident Response Process》