宇宙免责声明！！！

本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。

严禁将本文中的任何信息用于非法目的或对任何未经许可的系统进行测试。未经授权尝试访问计算机系统或数据是违法行为，可能会导致法律后果。

作者不对因阅读本文后采取的任何行动所造成的任何形式的损害负责，包括但不限于直接、间接、特殊、附带或后果性的损害。用户应自行承担使用这些信息的风险。

我们鼓励所有读者遵守法律法规，负责任地使用技术知识，共同维护网络空间的安全与和谐。

起因

• 收到用户反馈，内网某台机器请求恶意挖矿域名

排查

• 到现场后，经过询问工作人员得知，告警ip（1.1.1.1）为此单位出口ip，而目的ip（2.2.2.2和3.3.3.3）为某专网的dns服务器，再请求挖矿域名是，被态势感知捕获后拦截，从而发出告警

• 把矿池地址丢进微步，拿到对应的解析ip

• 那么此时排查思路就很明确了，上内网防火墙，如果直接找矿池ip是找不到的，又不支持域名搜索，所以只能去查看请求此dns的ip（因为是纯内网，而且被拦截），发现只有一台终端有dns的请求记录

溯源

• 最终定位个人终端电脑4.4.4.4.这台机器，此pc为内网电脑，直通专网

• 先拔网线，取消告警，然后连接手机热点，让他正常出网，方便溯源，然后上机打开火绒剑开始排查恶意挖矿进程，但是看了很久发现并没有请求矿池，没有异常网络连接。这是怎么回事呢？难道不是这一台吗，回到防火墙，查看最后一次告警时间，发现跟我拔网线的时间相差无几，基本可以确定就是这一台。

• 考虑到是不是进程休眠或者停止了，所以重启一下此pc，发现一样没有异常通讯进程，然后在下载万能的360的时候，发现右下角还有一个玩意，xx安全卫士，打开一看，是天x，666，大概知道知道是怎么回事了。

• 打开日志，查看拦截记录，一大片，仅记录不告警，和拦截。来到隔离区域，7w条隔离，什么蛊真人在世。。将距离告警最近的隔离样本恢复并且信任，然后再重启。

• 此时360也安装成功，疯狂报拦截，挨个放行，过了一会，ok找到了，又是你rundll32

• 通过rundll32启动的恶意dll文件，对比360告警，交叉确认此dll为恶意

• 丢进沙箱，看到情报ioc，域名和告警域名一致，那就是他了

课程介绍链接：https://www.yuque.com/syst1m-/blog/lc3k6elv0zqhdal3?singleDoc# 《课程介绍》

原文始发于微信公众号（Zer0 sec）：应急响应之挖矿（案例）