记一次挖矿病毒的应急响应

人往往就是这个样子，一个人的时候是一种样子，
好多人聚在一起的时候就会完全变成另外一种样子。
          -------《白鹿原》陈忠实

某单位接到上级单位通报存在挖矿病毒，通报的地址0.58是一台
路由器的地址，拓扑情况是该单位出口是一台路由器，路由器的
镜像接口接到上级单位的感知设备上，出口地址肯定是做了NAT转换，
所上级单位下发的通告中受害IP只是一台路由器。安全设备上未能
发现有效信息，只能人工去分析。
通报中存在四个危险矿池域名：
  channel.vaincues.com
  doc.lienous.cf
  fillmore.trovuier.com
  castaic.vaincues.com

  思路真的很重要，既然通报是挖矿病毒，我们首先是要清楚
挖矿病毒的行为特征。
  挖矿病毒下载到本地后，利用被入侵计算机的算力，运行特
定算法，挖掘加密数字货币，与矿池服务器通信后得到相应的
比特币。所以会导致CPU/GPU使用率较高，系统卡顿，部分服
务无法正常运行，这也是挖矿木马最明显的特点，在内网的挖
矿木马会一直请求与外网矿池服务器请求连接。（本次应急响
应的网络环境即为只连接上下级单位的ZW内网，无外网环境）

  考虑以上，因为上级单位的感知设备是在出口路由器之外的，
既然检测到了挖矿病毒，那异常的流量行为肯定过内网核心交换
机，来到机房，wireshark接内网核心交换机镜像流量口抓包
就没错，通报显示有域名地址，wireshark抓的包过滤DNS，
过滤命令:
  dns.qry.name == "castaic.vaincues.com"

  DNS是实现域名和IP地址相互映射的一个分布式数据库，域名和
IP地址相互转换的过程叫做域名解析，用户通过容易记忆的域名访
问网络资源。DNS域名解析服务器，承担域名到IP地址解析或者IP
地址到域名的解析工作。DNS协议运行在UDP协议之上，使用53端口号

  2.6是DNS服务器地址，因为在内网，DNS服务器上没有
与威胁域名对应的IP地址，所以DNS服务器的地址也会有解
析记录，14.87是上级领导的机器，不在客户这里，但是也
告知客户了，基本可以确定客户现场的两台机器，171.161，
171.164，找客户相关人员看这是哪间办公室的机器。

  找到机器后，发现是两台服务器，CPU，带宽占比都不高，
因为挖矿活动还没开始，木马只是一直向公网危险域名请求
链接，在纯内网哈哈哈所以就请求不到。服务器上安装了某绒，
杀了一遍没有反应，上某0，直接查杀出来三个高危，所以在
应急响应的时候，最好要多准备几个AV查杀，一般常见的蠕虫，
勒索，挖矿木马不会像APT那样做隐匿或者免杀，多换几个AV
基本上一杀一个准。

  重新调整下wireshark过滤器，tcp.port == 445 || udp.port == 445，
查看一下高危445端口有无异常，意外收获，发现171.222这台
机器在一直请求公网，觉得有问题，去机器上看下。

   发现是一台控制大屏显示的电脑，伊拉克战损成色，
躲在角落里面，开机都贼卡，cmd下netstat -ano
查看下当前连接，确实是在请求公网地址。

    任务管理器，看一下进程，mssecsvr.exe
和mssecsvc.exe是wanna cry的勒索病毒

  这机器真的放这里好久了，病毒文件显示18年的
（照片上有只蚊子不要介意嘻嘻嘻）

  上杀软发现好多高危。

  感谢此次应急响应中邓总，殷少，叶神思路的帮助
和支持，学习到了针对应急响应的一些思路，还是要多经历，多学习。

当当网开学季大促火热进行中

每满100-50，助你扬帆起航

大促截至2月24日