一、事件背景

某天客户反馈：服务器疑似被入侵，风扇噪声很大。（真实案例自己搭建环境复现一下，靶场环境放在了 知识星球 和 我的资源 中）

受害服务器： Windows2008 系统、IP： 192.168.226.137、无WEB服务

二、应急响应过程

根据客户反馈：“风扇噪声很大”，一般只有消耗CPU很多的情况下，服务器高温，风扇才会一直转，说明服务器可能感染wakuang病毒了

2.1 排查服务器是否感染挖矿病毒

登录进服务器之后，看到桌面下面有一个java程序在运行

点开java图标之后，发现该程序一直在访问域名：mine.c3pool.com:13333

微步查看域名：mine.c3pool.com，确认是矿池域名，此java程序是wakuang病毒

之后查看服务器的CPU和内存使用率，发现名为javs.exe的程序内存使用率极大

之后点击 javs.exe程序的属性

在属性栏中找到程序的位置：C:UsersAdministratorDownloadswkbdwkbdjavs.exe

进入C:UsersAdministratorDownloadswkbdwkbd目录发现确实是wakuang程序

查看config.json文件，里面是矿池域名和WaKuang钱包

将javs.exe程序放在微步云沙箱跑一下，确实是恶意文件

既然发现是wakuang程序，那么把 javs.exe程序结束进程，终止WaKuang

终止 javs.exe程序之后，过了几分钟， javs.exe程序又再次出现了，并且消耗CPU 99%，怀疑可能存在计划任务

查看任务计划程序

在任务计划程序中，发现一个名字为 system 的计划任务，计划任务启动的文件是：C:UsersAdministratorDownloadswkbdwkbdjavs.exe，正是我们之前发现的WaKuang程序

查看这个WaKuang病毒的创建者是Administrator ，创建时间是2022-03-23 9:46:17

小结：
1、WaKuang病毒位置：C:UsersAdministratorDownloadswkbdwkbd 目录
2、存在挖矿程序的计划任务，任务名字system

删除挖矿程序的计划任务，删除C:UsersAdministratorDownloadswkbdwkbd 目录

2.2 排查服务器后门

2.2.1 查看可疑进程

使用Autoruns工具查看服务器所有的进程，其中背景颜色为粉红色的程序，经排查均不是恶意程序，服务器不存在恶意程序

2.2.2 查看启动项

启动项正常

2.2.3 查看计划任务

计划任务正常，下图的是 windows server 2008的激活工具，之前的挖矿程序计划任务已删除

2.2.4 查看服务

未发现可疑服务

2.2.5 查看镜像劫持

发现了 shift粘贴键后门，后门路径是C:windowssystem32cmd.exe，可以在不登陆服务器的情况下，以administrator权限执行cmd

2.2.6 查看隐藏账户

通过 控制面板-》用户账户-》管理账户查看当前系统的所有账户未发现异常，只有administrator和guest

通过注册表编辑器，查看发现隐藏账户：wxiaoge$

2.3 排查网络连接

未发现异常
使用命令 netstat -ano 查看网络连接

小结：
1、存在Windows系统隐藏账户
2、存在shift粘贴键后门

三、应急响应溯源

3.1 查看WaKuang病毒计划任务创建时间

查看这个WaKuang病毒的创建者是Administrator ，创建时间是2022-03-23 9:46:17

3.2 排查安全日志

3.2 .1 提取安全日志

方法一：
首先使用evtx提取系统的日志，将evtx工具传到windows server 2008服务器上，因为该服务为64位，所以进入到 evtx_0x64 目录，之后以管理员身份运行 evtx.exe 文件

运行 evtx.exe 文件之后，日志成功提取，在evtx目录下会生成一些日志文件，如下图所示

方法二：
查看“事件查看器”

点开 windows日志，之后在右边有个“将所有事件另存为”

之后就可以保存所有的安全事件

3.2 .2 分析安全日志

将提取出来的日志，放到logon下的data里面(之前的日志需要全部删除)

然后运行bin目录里面的Run.bat程序即可。

如下所示，是运行结束后统计的各种表格

查看data目录下的4625.csv文件，此文件记录的是所有登录失败的信息，发现2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27，有黑客爆破Administrator账户，但是均没有记录到攻击IP

但是在2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27期间有审核成功的记录，但是没有IP地址，可能是黑客使用爆破工具成果爆破出Administrator账户密码

紧接着 2022/3/21 16:27:12，IP：192.168.226.1成功登录该服务器

继续排查在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$

之后将 wixoage$ 隐藏账户添加到超级管理员组，具有超级管理员权限

之后查看系统日志，发现在 2022/3/23 9:36:02 服务器去解析 xmr.usa-138.com 域名，而此域名是公共矿池，说明此时已经植入挖矿程序并且运行

注意：
logon工具使用的前提：电脑需要安装 LogParser 工具，不然表格会没有任何数据

LogParser 工具安装参考地址：
https://zhuanlan.zhihu.com/p/57092216
https://zhuanlan.zhihu.com/p/57092216?ivk_sa=1024320u

3.2 溯源总结

根据日志推测：黑客（IP：192.168.226.1）在 2022/3/21 16:26:19——2022/3/21 16:26:27对windows server 2008服务器进行暴力破解，并且成功爆破administrator账户，之后在2022/3/21 16:27:12，IP：192.168.226.1成功登录该服务器，在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$，在2022/3/23 9:36:02 植入挖矿程序并且运行，在2022-03-23 9:46:17创建挖矿程序的计划任务

至此，应急响应模拟实战结束，成功找到后门并溯源

更多资源：

1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球，可加入知识星球进行查看。也可搜索关注微信公众号：W小哥

原文始发于微信公众号（W小哥）：一次真实的应急响应案例(Win2008)——暴力破解、留隐藏账户与shift粘贴键后门、植入挖矿程序——事件复现（含靶场环境）