应急响应-Windows挖矿实战

0x00 主机表现

windows主机cpu拉满,主机卡顿,初步判断为中了挖矿病毒

0x00 处置

通过cpu拉满状态,定位初步的进程文件,

通过进程得到的文件上传沙箱,结果显示为恶意文件,

定位到文件夹, 存在配置文件config.json文件,对文件内容进行分析

通过分析JSON文件看起来像是一个配置文件,用于配置某个软件或程序的行为。其中包含了一些特殊的字段符号:cpu,opencl,pools等

复制代码
api: 包含与API相关的配置,但在这个文件中没有提供详细信息。
http: 包含HTTP服务器的配置信息,包括主机地址、端口号、访问令牌等。
autosave: 一个布尔值,表示是否自动保存配置更改。
background: 一个布尔值,表示是否在后台运行程序。
colors: 一个布尔值,表示是否启用彩色输出。
title: 一个布尔值,表示是否在输出中包含标题。
randomx: 包含RandomX算法的配置信息,包括初始化、模式、缓存等。
cpu: 包含CPU相关的配置信息,如是否启用CPU挖矿、使用大页、优先级等。
opencl: 包含OpenCL相关的配置信息,用于GPU挖矿。
cuda: 包含CUDA相关的配置信息,也用于GPU挖矿。
donate-level: 捐赠级别,可能用于捐赠给开发者的设定。
log-file: 日志文件的路径。
pools: 包含矿池的配置信息,包括矿池的URL、用户名、密码等。
user-agent: 用户代理字符串,用于HTTP请求。
watch: 一个布尔值,表示是否监视某些事件。
pause-on-battery: 一个布尔值,表示在电池供电时是否暂停运行。

这个JSON文件的具体用途取决于应用程序或工具,可能是某个加密货币挖矿软件的配置文件或其他类型的工具的配置文件。

计划任务

在计划任务,获取到两个计划任务,一个为正常的破解软件的程序,另外一个计时任务也同样定位到了之前看到的恶意程序,

日志分析

在windwos安全日志中存在大量的失败爆破登录4625,且与木马文件的时间相近似,

存在192.168的爆破日志,事件表明,帐户Administrator已经成功登录到计算机WIN-BAKDHQ1993U,登录过程由进程C:\Windows\System32\winlogon.exe启动。登录是从IP地址192.168.226.1的主机发起的,目标服务器名称是localhost。

木马文件的上传时间:2022-3-23 9:39
rdp爆破成功登录时间: 2022-3-21 16:27

计划任务时间2022-3-23 9:46

使用pchunter查看其他详细信息

同样也存在映像劫持

查看注册表,相关进程文件初步审查未发现其他异样文件

总结

初步判定为192.168主机的rdp爆破进入本主机,主机存在木马文件,且存在计划任务,后门,映像劫持用来权限维持,将相关病毒查杀删除后,全班主机查杀后,重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。

相关推荐
chaofan9801 小时前
如何用 Claude Code 搭建安全、可测、可自动化的 GitHub CI 流程?
运维·人工智能·ci/cd·ai·自动化·github·claude
无敌最俊朗@1 小时前
Linux 进程创建与控制详解
linux·运维·服务器
jieyu11191 小时前
入侵检测系统(IDS)和入侵防御系统(IPS)
运维·服务器·系统安全
小白银子1 小时前
零基础从头教学Linux(Day 43)
linux·运维·服务器·nginx
The star"'2 小时前
Nginx 服务器
运维·服务器·nginx
慌糖2 小时前
自动化接口框架搭建分享-pytest第三部分
运维·自动化·pytest
weixin_307779133 小时前
通过AWS IAM Policy Simulator进行权限验证和模拟测试
运维·系统安全·aws·安全架构·安全性测试
安审若无3 小时前
PMON failed to acquire latch 的报错及sqlplus / as sysdba 无法连接
linux·运维·数据库
失因3 小时前
Docker 容器与镜像
java·运维·spring cloud·docker·容器
运维行者_3 小时前
OpManager 与 iOS 26:开启 IT 运维新时代
运维·网络·网络协议·网络安全·ios·iphone·告警