应急靶场(5):WindowsServer2022挖矿事件

admin 2024年7月17日08:25:36评论211 views字数 1749阅读5分49秒阅读模式
目录
一、攻击者开始攻击的时间
二、攻击者的IP地址
三、攻击者攻击的端口
四、挖矿程序的md5
五、后门脚本的md5
六、矿池地址
七、钱包地址
八、攻击者是如何攻击进入的

下载好靶场([hvv训练]应急响应靶机训练-挖矿事件)并搭建好环境,使用帐号密码(Administrator / zgsf@123)登录靶机。

应急靶场(5):WindowsServer2022挖矿事件

一、攻击者开始攻击的时间

未看到服务器部署web服务,优先判断攻击者通过RDP、SMB等方式入侵。使用命令eventvwr.msc打开事件查看器,在Windows日志->安全中,点击筛选当前日志筛选事件ID是4625的登录失败日志,可以看到最早于2024/5/21 20:25:22被192.168.115.131爆破rdp弱口令。

应急靶场(5):WindowsServer2022挖矿事件

应急靶场(5):WindowsServer2022挖矿事件

二、攻击者的IP地址

第一题时,已排查到攻击者的IP地址是:192.168.115.131。

应急靶场(5):WindowsServer2022挖矿事件

三、攻击者攻击的端口

第一题时,已排查到攻击者攻击的是3389端口的RDP服务。

应急靶场(5):WindowsServer2022挖矿事件

四、挖矿程序的md5

排查后门,使用命令msinfo32打开系统信息,在软件环境->服务中,看到可疑服务:c3pool_miner。对应的程序是:C:UsersAdministratorc3poolnssm.exe。

应急靶场(5):WindowsServer2022挖矿事件

排查进程,发现nssm.exe和xmrig.exe两个可疑进程。其中xmrig是大名鼎鼎的门罗币挖矿程序。

应急靶场(5):WindowsServer2022挖矿事件

使用wmic process where processid=6928 get name,processid,parentprocessid等命令不断排查挖矿程序的父进程,可以看到:

1、首先PID是548的Windows系统启动程序wininit.exe创建了PID是692的服务程序services.exe;

2、然后服务程序services.exe创建了PID是8076的服务管理软件nssm.exe;

3、最后服务管理软件nssm.exe创建了PID是6928的挖矿程序xmrig.exe。

应急靶场(5):WindowsServer2022挖矿事件

使用命令certutil -hashfile xmrig.exe MD5计算出挖矿程序的md5值是A79D49F425F95E70DDF0C68C18ABC564。

应急靶场(5):WindowsServer2022挖矿事件

应急靶场(5):WindowsServer2022挖矿事件

五、后门脚本的md5

使用命令msinfo32进入系统信息,在软件环境->启动程序中,看到可疑启动程序:systems,会执行脚本:C:UsersAdministratorAppDatasystems.bat。

应急靶场(5):WindowsServer2022挖矿事件

使用命令taskschd.msc进入任务计划程序,在任务计划程序库中,看到可疑计划任务systemTesst,会执行脚本:C:UsersAdministratorAppDatasystems.bat。

应急靶场(5):WindowsServer2022挖矿事件

查看C:UsersAdministratorAppDatasystems.bat脚本,发现是攻击者留下的后门脚本,会去下载挖矿程序部署脚本并执行。

应急靶场(5):WindowsServer2022挖矿事件

使用命令certutil -hashfile systems.bat MD5计算后门脚本的md5值,得到:8414900F4C896964497C2CF6552EC4B9。

应急靶场(5):WindowsServer2022挖矿事件

应急靶场(5):WindowsServer2022挖矿事件

六、矿池地址

网上查看xmrig挖矿程序的配置方法,提示config.json文件的url参数就是矿池地址。

应急靶场(5):WindowsServer2022挖矿事件

查看config.json文件的url参数,获得矿池地址:c3pool.org。

应急靶场(5):WindowsServer2022挖矿事件

应急靶场(5):WindowsServer2022挖矿事件

七、钱包地址

网上查看xmrig挖矿程序的配置方法,提示config.json文件的user参数,就是xmrig的钱包地址。

应急靶场(5):WindowsServer2022挖矿事件

查看config.json文件的user参数,获得钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y。

应急靶场(5):WindowsServer2022挖矿事件

应急靶场(5):WindowsServer2022挖矿事件

八、攻击者是如何攻击进入的

在第一题时我们已经知道,服务器最早于2024/5/21 20:25:22被192.168.115.131爆破rdp弱口令,因此攻击者是通过弱口令、或者密码爆破的方式拿下服务器的。

应急靶场(5):WindowsServer2022挖矿事件

但这里填空题,受博大精深的中文影响,很难说到作者预设的答案。因此对“解题系统.exe”解包和反编译后,查看源代码得知作者预设的答案是:暴力破解,或密码喷洒。

应急靶场(5):WindowsServer2022挖矿事件

应急靶场(5):WindowsServer2022挖矿事件

原文始发于微信公众号(OneMoreThink):应急靶场(5):WindowsServer2022挖矿事件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月17日08:25:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急靶场(5):WindowsServer2022挖矿事件https://cn-sec.com/archives/2963798.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息