应急响应-Windows挖矿实战

0x00 主机表现

windows主机cpu拉满,主机卡顿,初步判断为中了挖矿病毒

0x00 处置

通过cpu拉满状态,定位初步的进程文件,

通过进程得到的文件上传沙箱,结果显示为恶意文件,

定位到文件夹, 存在配置文件config.json文件,对文件内容进行分析

通过分析JSON文件看起来像是一个配置文件,用于配置某个软件或程序的行为。其中包含了一些特殊的字段符号:cpu,opencl,pools等

复制代码
api: 包含与API相关的配置,但在这个文件中没有提供详细信息。
http: 包含HTTP服务器的配置信息,包括主机地址、端口号、访问令牌等。
autosave: 一个布尔值,表示是否自动保存配置更改。
background: 一个布尔值,表示是否在后台运行程序。
colors: 一个布尔值,表示是否启用彩色输出。
title: 一个布尔值,表示是否在输出中包含标题。
randomx: 包含RandomX算法的配置信息,包括初始化、模式、缓存等。
cpu: 包含CPU相关的配置信息,如是否启用CPU挖矿、使用大页、优先级等。
opencl: 包含OpenCL相关的配置信息,用于GPU挖矿。
cuda: 包含CUDA相关的配置信息,也用于GPU挖矿。
donate-level: 捐赠级别,可能用于捐赠给开发者的设定。
log-file: 日志文件的路径。
pools: 包含矿池的配置信息,包括矿池的URL、用户名、密码等。
user-agent: 用户代理字符串,用于HTTP请求。
watch: 一个布尔值,表示是否监视某些事件。
pause-on-battery: 一个布尔值,表示在电池供电时是否暂停运行。

这个JSON文件的具体用途取决于应用程序或工具,可能是某个加密货币挖矿软件的配置文件或其他类型的工具的配置文件。

计划任务

在计划任务,获取到两个计划任务,一个为正常的破解软件的程序,另外一个计时任务也同样定位到了之前看到的恶意程序,

日志分析

在windwos安全日志中存在大量的失败爆破登录4625,且与木马文件的时间相近似,

存在192.168的爆破日志,事件表明,帐户Administrator已经成功登录到计算机WIN-BAKDHQ1993U,登录过程由进程C:\Windows\System32\winlogon.exe启动。登录是从IP地址192.168.226.1的主机发起的,目标服务器名称是localhost。

木马文件的上传时间:2022-3-23 9:39
rdp爆破成功登录时间: 2022-3-21 16:27

计划任务时间2022-3-23 9:46

使用pchunter查看其他详细信息

同样也存在映像劫持

查看注册表,相关进程文件初步审查未发现其他异样文件

总结

初步判定为192.168主机的rdp爆破进入本主机,主机存在木马文件,且存在计划任务,后门,映像劫持用来权限维持,将相关病毒查杀删除后,全班主机查杀后,重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。

相关推荐
java叶新东老师3 小时前
git stash 命令详解
linux·运维·flink
写bug的羊羊4 小时前
CentOS 9 配置国内 YUM 源
linux·运维·centos
国科安芯5 小时前
抗辐照芯片在低轨卫星星座CAN总线通讯及供电系统的应用探讨
运维·网络·人工智能·单片机·自动化
gx23486 小时前
HCLP--MGER综合实验
运维·服务器·网络
angushine6 小时前
鲲鹏服务器部署Kafka2.8.1
运维·服务器
一个网络学徒7 小时前
MGRE综合实验
运维·服务器·网络
C++ 老炮儿的技术栈7 小时前
在 Scintilla 中为 Squirrel 语言设置语法解析器的方法
linux·运维·c++·git·ubuntu·github·visual studio
白鹭8 小时前
基于LNMP架构的分布式个人博客搭建
linux·运维·服务器·网络·分布式·apache
java叶新东老师8 小时前
linux 部署 flink 1.15.1 并提交作业
linux·运维·flink
程序员JerrySUN9 小时前
Linux系统架构核心全景详解
linux·运维·系统架构