下载好靶场([hvv训练]应急响应靶机训练-挖矿事件)并搭建好环境,使用帐号密码(Administrator / zgsf@123)登录靶机。
一、攻击者开始攻击的时间
未看到服务器部署web服务,优先判断攻击者通过RDP、SMB等方式入侵。使用命令eventvwr.msc打开事件查看器,在Windows日志->安全中,点击筛选当前日志筛选事件ID是4625的登录失败日志,可以看到最早于2024/5/21 20:25:22被192.168.115.131爆破rdp弱口令。
二、攻击者的IP地址
第一题时,已排查到攻击者的IP地址是:192.168.115.131。
三、攻击者攻击的端口
第一题时,已排查到攻击者攻击的是3389端口的RDP服务。
四、挖矿程序的md5
排查后门,使用命令msinfo32打开系统信息,在软件环境->服务中,看到可疑服务:c3pool_miner。对应的程序是:C:UsersAdministratorc3poolnssm.exe。
排查进程,发现nssm.exe和xmrig.exe两个可疑进程。其中xmrig是大名鼎鼎的门罗币挖矿程序。
使用wmic process where processid=6928 get name,processid,parentprocessid等命令不断排查挖矿程序的父进程,可以看到:
1、首先PID是548的Windows系统启动程序wininit.exe创建了PID是692的服务程序services.exe;
2、然后服务程序services.exe创建了PID是8076的服务管理软件nssm.exe;
3、最后服务管理软件nssm.exe创建了PID是6928的挖矿程序xmrig.exe。
使用命令certutil -hashfile xmrig.exe MD5计算出挖矿程序的md5值是A79D49F425F95E70DDF0C68C18ABC564。
五、后门脚本的md5
使用命令msinfo32进入系统信息,在软件环境->启动程序中,看到可疑启动程序:systems,会执行脚本:C:UsersAdministratorAppDatasystems.bat。
使用命令taskschd.msc进入任务计划程序,在任务计划程序库中,看到可疑计划任务systemTesst,会执行脚本:C:UsersAdministratorAppDatasystems.bat。
查看C:UsersAdministratorAppDatasystems.bat脚本,发现是攻击者留下的后门脚本,会去下载挖矿程序部署脚本并执行。
使用命令certutil -hashfile systems.bat MD5计算后门脚本的md5值,得到:8414900F4C896964497C2CF6552EC4B9。
六、矿池地址
网上查看xmrig挖矿程序的配置方法,提示config.json文件的url参数就是矿池地址。
查看config.json文件的url参数,获得矿池地址:c3pool.org。
七、钱包地址
网上查看xmrig挖矿程序的配置方法,提示config.json文件的user参数,就是xmrig的钱包地址。
查看config.json文件的user参数,获得钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y。
八、攻击者是如何攻击进入的
在第一题时我们已经知道,服务器最早于2024/5/21 20:25:22被192.168.115.131爆破rdp弱口令,因此攻击者是通过弱口令、或者密码爆破的方式拿下服务器的。
但这里填空题,受博大精深的中文影响,很难说到作者预设的答案。因此对“解题系统.exe”解包和反编译后,查看源代码得知作者预设的答案是:暴力破解,或密码喷洒。
原文始发于微信公众号(OneMoreThink):应急靶场(5):WindowsServer2022挖矿事件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论