0x00 主机表现
windows主机cpu拉满,主机卡顿,初步判断为中了挖矿病毒
0x00 处置
通过cpu拉满状态,定位初步的进程文件,
通过进程得到的文件上传沙箱,结果显示为恶意文件,
定位到文件夹, 存在配置文件config.json文件,对文件内容进行分析
通过分析JSON文件看起来像是一个配置文件,用于配置某个软件或程序的行为。其中包含了一些特殊的字段符号:cpu,opencl,pools等
api: 包含与API相关的配置,但在这个文件中没有提供详细信息。
http: 包含HTTP服务器的配置信息,包括主机地址、端口号、访问令牌等。
autosave: 一个布尔值,表示是否自动保存配置更改。
background: 一个布尔值,表示是否在后台运行程序。
colors: 一个布尔值,表示是否启用彩色输出。
title: 一个布尔值,表示是否在输出中包含标题。
randomx: 包含RandomX算法的配置信息,包括初始化、模式、缓存等。
cpu: 包含CPU相关的配置信息,如是否启用CPU挖矿、使用大页、优先级等。
opencl: 包含OpenCL相关的配置信息,用于GPU挖矿。
cuda: 包含CUDA相关的配置信息,也用于GPU挖矿。
donate-level: 捐赠级别,可能用于捐赠给开发者的设定。
log-file: 日志文件的路径。
pools: 包含矿池的配置信息,包括矿池的URL、用户名、密码等。
user-agent: 用户代理字符串,用于HTTP请求。
watch: 一个布尔值,表示是否监视某些事件。
pause-on-battery: 一个布尔值,表示在电池供电时是否暂停运行。这个JSON文件的具体用途取决于应用程序或工具,可能是某个加密货币挖矿软件的配置文件或其他类型的工具的配置文件。
计划任务
在计划任务,获取到两个计划任务,一个为正常的破解软件的程序,另外一个计时任务也同样定位到了之前看到的恶意程序,
日志分析
在windwos安全日志中存在大量的失败爆破登录4625,且与木马文件的时间相近似,
存在192.168的爆破日志,事件表明,帐户Administrator已经成功登录到计算机WIN-BAKDHQ1993U,登录过程由进程C:\Windows\System32\winlogon.exe启动。登录是从IP地址192.168.226.1的主机发起的,目标服务器名称是localhost。
木马文件的上传时间:2022-3-23 9:39
rdp爆破成功登录时间: 2022-3-21 16:27
计划任务时间2022-3-23 9:46
使用pchunter查看其他详细信息
同样也存在映像劫持
查看注册表,相关进程文件初步审查未发现其他异样文件
总结
初步判定为192.168主机的rdp爆破进入本主机,主机存在木马文件,且存在计划任务,后门,映像劫持用来权限维持,将相关病毒查杀删除后,全班主机查杀后,重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。