admin管理员组文章数量:1794759
应急靶场(5):WindowsServer2022挖矿事件
一、攻击者开始攻击的时间
未看到服务器部署web服务,优先判断攻击者通过RDP、SMB等方式入侵。使用命令eventvwr.msc打开事件查看器,在Windows日志->安全中,点击筛选当前日志筛选事件ID是4625的登录失败日志,可以看到最早于2024/5/21 20:25:22被192.168.115.131爆破rdp弱口令。
二、攻击者的IP地址
第一题时,已排查到攻击者的IP地址是:192.168.115.131。
三、攻击者攻击的端口
第一题时,已排查到攻击者攻击的是3389端口的RDP服务。
四、挖矿程序的md5
排查后门,使用命令msinfo32打开系统信息,在软件环境->服务中,看到可疑服务:c3pool_miner。对应的程序是:C:\Users\Administrator\c3pool\nssm.exe。
排查进程,发现nssm.exe和xmrig.exe两个可疑进程。其中xmrig是大名鼎鼎的门罗币挖矿程序。
使用wmic process where processid=6928 get name,processid,parentprocessid等命令不断排查挖矿程序的父进程,可以看到:
1、首先PID是548的Windows系统启动程序wininit.exe创建了PID是692的服务程序services.exe;
2、然后服务程序services.exe创建了PID是8076的服务管理软件nssm.exe;
3、最后服务管理软件nssm.exe创建了PID是6928的挖矿程序xmrig.exe。
使用命令certutil -hashfile xmrig.exe MD5计算出挖矿程序的md5值是A79D49F425F95E70DDF0C68C18ABC564。
五、后门脚本的md5
使用命令msinfo32进入系统信息,在软件环境->启动程序中,看到可疑启动程序:systems,会执行脚本:C:\Users\Administrator\AppData\systems.bat。
使用命令taskschd.msc进入任务计划程序,在任务计划程序库中,看到可疑计划任务systemTesst,会执行脚本:C:\Users\Administrator\AppData\systems.bat。
查看C:\Users\Administrator\AppData\systems.bat脚本,发现是攻击者留下的后门脚本,会去下载挖矿程序部署脚本并执行。
使用命令certutil -hashfile systems.bat MD5计算后门脚本的md5值,得到:8414900F4C896964497C2CF6552EC4B9。
六、矿池地址
网上查看xmrig挖矿程序的配置方法,提示config.json文件的url参数就是矿池地址。
查看config.json文件的url参数,获得矿池地址:c3pool。
七、钱包地址
网上查看xmrig挖矿程序的配置方法,提示config.json文件的user参数,就是xmrig的钱包地址。
查看config.json文件的user参数,获得钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y。
八、攻击者是如何攻击进入的
在第一题时我们已经知道,服务器最早于2024/5/21 20:25:22被192.168.115.131爆破rdp弱口令,因此攻击者是通过弱口令、或者密码爆破的方式拿下服务器的。
但这里填空题,受博大精深的中文影响,很难说到作者预设的答案。因此对“解题系统.exe”解包和反编译后,查看源代码得知作者预设的答案是:暴力破解,或密码喷洒。
本文标签: 应急靶场(5)WindowsServer2022挖矿事件
版权声明:本文标题:应急靶场(5):WindowsServer2022挖矿事件 内容由林淑君副主任自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.xiehuijuan.com/baike/1754851392a1707314.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论