应急响应-Windows挖矿实战

0x00 主机表现

windows主机cpu拉满,主机卡顿,初步判断为中了挖矿病毒

0x00 处置

通过cpu拉满状态,定位初步的进程文件,

通过进程得到的文件上传沙箱,结果显示为恶意文件,

定位到文件夹, 存在配置文件config.json文件,对文件内容进行分析

通过分析JSON文件看起来像是一个配置文件,用于配置某个软件或程序的行为。其中包含了一些特殊的字段符号:cpu,opencl,pools等

复制代码
api: 包含与API相关的配置,但在这个文件中没有提供详细信息。
http: 包含HTTP服务器的配置信息,包括主机地址、端口号、访问令牌等。
autosave: 一个布尔值,表示是否自动保存配置更改。
background: 一个布尔值,表示是否在后台运行程序。
colors: 一个布尔值,表示是否启用彩色输出。
title: 一个布尔值,表示是否在输出中包含标题。
randomx: 包含RandomX算法的配置信息,包括初始化、模式、缓存等。
cpu: 包含CPU相关的配置信息,如是否启用CPU挖矿、使用大页、优先级等。
opencl: 包含OpenCL相关的配置信息,用于GPU挖矿。
cuda: 包含CUDA相关的配置信息,也用于GPU挖矿。
donate-level: 捐赠级别,可能用于捐赠给开发者的设定。
log-file: 日志文件的路径。
pools: 包含矿池的配置信息,包括矿池的URL、用户名、密码等。
user-agent: 用户代理字符串,用于HTTP请求。
watch: 一个布尔值,表示是否监视某些事件。
pause-on-battery: 一个布尔值,表示在电池供电时是否暂停运行。

这个JSON文件的具体用途取决于应用程序或工具,可能是某个加密货币挖矿软件的配置文件或其他类型的工具的配置文件。

计划任务

在计划任务,获取到两个计划任务,一个为正常的破解软件的程序,另外一个计时任务也同样定位到了之前看到的恶意程序,

日志分析

在windwos安全日志中存在大量的失败爆破登录4625,且与木马文件的时间相近似,

存在192.168的爆破日志,事件表明,帐户Administrator已经成功登录到计算机WIN-BAKDHQ1993U,登录过程由进程C:\Windows\System32\winlogon.exe启动。登录是从IP地址192.168.226.1的主机发起的,目标服务器名称是localhost。

木马文件的上传时间:2022-3-23 9:39
rdp爆破成功登录时间: 2022-3-21 16:27

计划任务时间2022-3-23 9:46

使用pchunter查看其他详细信息

同样也存在映像劫持

查看注册表,相关进程文件初步审查未发现其他异样文件

总结

初步判定为192.168主机的rdp爆破进入本主机,主机存在木马文件,且存在计划任务,后门,映像劫持用来权限维持,将相关病毒查杀删除后,全班主机查杀后,重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。

相关推荐
qyhua4 小时前
【Linux运维实战】彻底修复 CVE-2011-5094 漏洞
linux·运维·安全
九皇叔叔5 小时前
Linux Shell 正则表达式中的 POSIX 字符集:用法与实战
linux·运维·正则表达式
東雪蓮☆6 小时前
K8s 平滑升级
linux·运维·云原生·kubernetes
AKAMAI6 小时前
数据孤岛破局之战 :跨业务分析的难题攻坚
运维·人工智能·云计算
东巴图7 小时前
JavaScript性能优化实战大纲性能优化的核心目标
运维·matlab
站长朋友7 小时前
【邀请函】锐成信息 × Sectigo | CLM - SSL 证书自动化运维解决方案发布会
运维·自动化·ssl·clm·sectigo·47天ssl证书
qq_183802877 小时前
Linux内核idr数据结构使用
linux·运维·服务器
King's King7 小时前
自动化仓库规划设计方案
运维·自动化
码农-小林8 小时前
使用leaflet库加载服务器离线地图瓦片(这边以本地nginx服务器为例)
运维·服务器·nginx
噜啦噜啦嘞好8 小时前
Linux:库制作与原理
linux·运维·服务器