【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

admin 2022年10月1日10:51:00应急响应评论20 views5042字阅读16分48秒阅读模式

目录

0x00 缘起0x01 信息收集0x02 现场排查及处置0x03 溯源分析过程0x04 应急响应事件结论0x05 存在的威胁一、安全意识问题二、终端安全0x06 安全加固和改进建议一、系统加固建议二、产品加固建议

 

0x00 缘起

在风和日丽的周五,我抱着今天搬完砖明天葛优躺的心态开开心心、快快乐乐的工作,没成想刚接到一通电话,电话的那边传来周六需要加班的噩耗,直接打破了周六的葛优躺计划,我周六加班的悲剧故事就此展开。

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

0x01 信息收集

因为检测和处置的时间安排了明天,在这个时间里可以收集一下信息,这里给大家一个自己总结的信息收集表。

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

每个项目的信息收集都不是唯一的,需要看项目的需求和背景结合自身经验进行必要的信息收集。

接下来,展示本次信息收集出来的结果。

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

对于这次信息收集我就很服,看来只能明天到现场再去看了。

0x02 现场排查及处置

异常现象确认
服务器被植入挖矿病毒,访问矿池,内网横向,根据病毒特征和其它手段判断该挖矿病毒为DTStealer蠕虫病毒,该病毒利用历史漏洞针对Windows、Linux下的主机进行入侵感染,在入侵成功之后不仅会下载挖矿文件进行挖矿,还会释放传播模块继续入侵感染内网其它终端。本次中挖矿病毒的有三台主机,下面会逐一进行分析。

次日,天气晴转多云,我的心情多云转阴,又是一次带阻的应急处置,不仅催我不要迟到居然还要求我编写报告。

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

学校在山沟,我光去的路程就三个小时,真是一个实实在在的打工仔啊。

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

话不多说,直接跳到现场进行检测

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

图片有点模糊,因为无法远程连接受害服务器所以直接到现场进行应急处置,这台服务器是通过网络交换机上查找网口找到的物理位置,据挺说已经多年没用了。

找到该服务器,跟当地的负责此次应急的老师进行沟通,只获取到这台服务器走的是单独的网线出的外网没有经过任何的安全防护设备。

开机显示这台机器是Windows Server 2012 R2服务器,但是忘记了开机密码,这里获取老师同意,关机进入PE修改Administrator管理员用户密码,直接跳过进入正题。

重启服务器,登录administrator用户,先查看网络状态,使用netstat -ano命令,结果如图:

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

发现服务器开启443/80端口(一会详细看看做的什么业务交互),其次发现该服务器对内网进行扫描。
利用tasklist命令查看PID,锁定程序为PowerShell恶意脚本文件(这个应该是内网扫描脚本,可能是通过计划任务来定时调动此脚本,可以删除此脚本后排查一下任务计划项),直接kill掉。
【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

不出所料,名字为随机生成的就是调用pwershell恶意脚本文件和挖矿病毒程序,还不kill掉?在使用netstat -ano查看网络状态连接命令和任务计划,也查看到了公网的地址,放到微步的上查看,果然不出所料,是挖矿的矿池地址。

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

注意一下,哦?柠檬鸭?驱动人生后门?
如果是柠檬鸭的驱动人生何尝不查看一下家族特征?(如果知道病毒的家族特征就可以在百度上查看一些处置案例和病毒的主程序位置)

家族特征:驱动人生”蠕虫病毒出现新变种、老牌木马团伙“柠檬鸭”进化袭来

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

通过互联网对该挖矿病毒家族团伙进行信息收集,大都使用powershell脚本反射式加载xmrig进行无文件挖矿,但是这里我对netstat查看到的矿池进行tasklist PID查看到一个8991d9.exe文件,再通过Everything软件查看到这个文件居然存在的Windows/tmep目录,该目录居然是这次应急处置病毒的Home,就这么简单?
【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置这个目录下还有好多tmp文件,都是病毒生成的临时文件和日志,还多余做了云沙箱这个步骤。

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

最终直接将整个temp目录kill掉,但是遇见了一个问题,temp目录下有一个东西居然还在启动,难道我没关完?

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

Putty啊,这不更判断是柠檬鸭驱动人生挖矿病毒了吗?直接结束进程过几秒钟又自动启动,可能是条件竞争。我这暴脾气能受得了?直接拉进火绒里进行文件粉碎。

然后给客户装我最喜欢的火绒,把残留的恶意病毒查杀掉,将矿池的恶意地址加入火绒自带的黑名单内。

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

然后就是重启,再次检查一遍powershell、启动项、计划任务、服务、网络状态、影子用户(像挖矿病毒很少留影子用户的,但是最好也检查一遍),半个小时-一个小时网络状态没有异常,到这里处置已经做完了,很水。

0x03 溯源分析过程

之前在网络状态连接查看到服务器开放443/80端口,领导要求写报告,这次应急的内容很少,很难获得青睐,试试能不能在别的地方拽取点,就发生了一下故事,更水!

居然是和信下一代云桌面系统,不用想了还存在超级弱密码!

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

查看以前admin登录次数和时间发现近期都有人登录过,客户确认不是他们本人操作。
查看版本,2017年后未升级,可能存在历史漏洞:

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

通过搜索引擎搜索和信下一代云桌面系统历史漏洞

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

文件上传漏洞、CNVD-2021-58587

阶段结果:初步认为网站存在高危漏洞(弱密码、CNVD-2021-58587),现已对网站弱密码进行整改,版本问题需要跟进。

这文笔不就来了?还想着从系统安全日志查看异常用户登录,日志只有半年至一年的,但是文件18年就存在了,报告文案也有了就没有再继续了(毕竟加班,谁不想早点下班呢!)。本次应急就到这里最后就是编写报告的时间了

0x04 应急响应事件结论

三台机器被入的挖矿都为DTStealer,内网横向,访问矿池。和信下一代云桌面系统被入侵的时间需要再次详细排查。因为不知道操作系统是否存在漏洞、操作系统以前是否为弱密码,初步认为造成被入侵的原因是历史漏洞+WEB管理员弱密码。

0x05 存在的威胁

一、安全意识问题

1.对内网安全不够重视,未充分考虑内网安全,导致病毒在内网肆意扩散。
2.对于内网主机的安全性不够重视,比如内网主机存在弱口令等。

二、终端安全

1.主机上未安装最新版/可统一管控的杀毒软件,未对主机进行病毒查杀;
2.桌面云管理系统未及时更新系统补丁;
3.内网未部署漏洞扫描工具,无法得知哪些主机存在漏洞未修复等安全隐患。

0x06 安全加固和改进建议

一、系统加固建议

账号安全
1.密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。
2.禁用Guest账号,禁用或删除其他无用账号。
3.禁用administrator账号,为跳板机用户专门设置新的账号。
4.账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。

系统安全
1.操作系统补丁管理 - 安装最新的操作系统Hotfix补丁。安装补丁时应对服务器系统进行兼容性测试。
2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。
3.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
4.服务安全 - 禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP 137、UDP 138、以及TCP 139端口。
5.共享文件夹及访问权限 - 非域环境中,关闭Windows硬盘默认共享,C, D ,D,D。
6.跳板机机器的远程连接端口不对公网进行开放。

网站安全
1.管理界面禁止弱密码,限制登录失败次数
2. 版本需要及时更新
3. Web应用防火墙

二、产品加固建议

1.部署可统一管控的终端安全杀毒软件,如发现安全问题可一键下发病毒查杀扫描任务,及时清理病毒。
2.缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患;
3.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。
4.缺少安全防护设备,无法限制病毒的植入和防护。

经过本次应急响应,成功推出EDR(终端安全防护软件),我作为本次最大的公臣,奖励调休一天( ̄▽ ̄)"


本文作者:

 转载请注明来自FreeBuf.COM

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

 【Hacking黑白红】,一线渗透攻防实战交流公众号

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

回复“电子书”获取web渗透、CTF电子书:

回复“视频教程”获取渗透测试视频教程;  

回复“内网书籍”获取内网学习书籍;        

回复“CTF工具”获取渗透、CTF全套工具;

回复“内网渗透;获取内网渗透资料;

回复护网;获取护网学习资料 ;

回复python,获取python视频教程;

回复java,获取Java视频教程;

回复go,获取go视频教程


知识星球


【Hacking藏经阁】知识星球致力于分享技术认知

1、技术方面。主攻渗透测试(web和内网)、CTF比赛、逆向、护网行动等;

400G渗透教学视频、80多本安全类电子书、50个渗透靶场(资料主要来自本人总结、以及学习过程中购买的课程)

2、认知方面。副业经营、人设IP打造,具体点公众号运营、抖*yin等自媒体运营(目前主要在运营两个平台4个号)。


如果你也想像我一样,不想35岁以后被动的去面试,那么加入星球我们一起成长。




【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置


欢迎加入99米/年,平均每天2毛7分钱,学习网络安全一整年。


【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置




渗透实战系列


【渗透实战系列】|46-渗透测试:从Web到内网

【渗透实战系列】|45-记一次渗透实战-代码审计到getshell

【渗透实战系列】|44-记一次授权渗透实战(过程曲折,Java getshell)

【渗透实战系列】|43-某次通用型漏洞挖掘思路分享

【渗透实战系列】|42-防范诈骗,记一次帮助粉丝渗透黑入某盘诈骗的实战

【渗透实战系列】|41-记一次色*情app渗透测试

【渗透实战系列】|40-APP渗透测试步骤(环境、代理、抓包挖洞)

▶【渗透实战系列】|39-BC渗透的常见切入点(总结)

【渗透实战系列】|38-对某色情直播渗透

【渗透实战系列】|37-6年级小学生把学校的网站给搞了!

【渗透实战系列】|36-一次bc推广渗透实战

【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透

【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链

【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP

【渗透实战系列】|32-FOFA寻找漏洞,绕过杀软拿下目标站

【渗透实战系列】|31-记一次对学校的渗透测试

【渗透实战系列】|30-从SQL注入渗透内网(渗透的本质就是信息搜集)

【渗透实战系列】|29-实战|对某勒索APP的Getshell

【渗透实战系列】|28-我是如何拿下BC站的服务器

【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试(成功获取管理员真实IP)

【渗透实战系列】|26一记某cms审计过程(步骤详细)

【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程

【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法

【渗透实战系列】|23-某菠菜网站渗透实战

【渗透实战系列】|22-渗透系列之打击彩票站

【渗透实战系列】|21一次理财杀猪盘渗透测试案例

【渗透实战系列】|20-渗透直播网站

【渗透实战系列】|19-杀猪盘渗透测试

【渗透实战系列】|18-手动拿学校站点 得到上万人的信息(漏洞已提交)

【渗透实战系列】|17-巧用fofa对目标网站进行getshell

【渗透实战系列】|16-裸聊APP渗透测试

【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点

【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透测试(非常详细,适合打战练手)

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

    

长按-识别-关注

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

Hacking黑白红

一个专注信息安全技术的学习平台

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

点分享

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

点收藏

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

点点赞

【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

点在看

原文始发于微信公众号(Hacking黑白红):【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日10:51:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置 http://cn-sec.com/archives/1315431.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: