挖矿病毒来源
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。
它可以利用个人电脑或服务器进行挖矿,具体现象为CPU拉满,网络阻塞,服务器卡顿等。
挖矿病毒大致植入流程
- 入口点丢失权限:口令爆破、Web后门等
- 攻击者通过上传执行程序或脚本
- 运行程序或脚本(有些会清理其他同行程序)
- 下载的挖掘程序,并写入权限维持技术
排查方向
- 通过CPU占用率来筛选出进程
- 通过外部网络连接筛选出恶意地址
排查流程
分析定性
- 通过占用大量CPU的进程找到恶意文件
- 上传威胁情报平台进行解析分析
- 通过网络找到外链,将URL或者IP上传到威胁情报平台进行解析分析
应急处置
- 排查权限维持手段:启动项、计划任务、服务等
- 排查入口攻击点:口令爆破、Web丢失权限等
- 及时隔离主机,阻断异常网络通信:封禁IP,开启防火墙,指定防火墙策略来限制传输协议等
Windows 2022挖矿主机分析
参考文章与环境
应急响应靶机练习-Web5 WindowsServer挖矿案例记录
分析定性
首先查看CPU占用率,看到有一个进程占用近乎百分百的CPU
查看对应程序所在目录,发现一些可疑文件
查看从中得到一个域名地址
接着从网络连接中提取IP地址
将exe和url、IP地址放到威胁情报平台分析
可以看到微步已经标记URL以及exe文件均为挖矿恶意网址和程序,到这时候我们就基本定性它是挖矿事件了
应急处置
排查权限维持手段
接下来我们要对这个挖矿程序进行应急处置,排查他是否存在一些权限维持的手段
计划任务
发现就一个命名较为可疑的程序,而且他的运行程序还是个bat,我们查看一下对应路径下的文件
所以删除此定时任务,我们继续排查
启动项
有时候定时任务删除之后,我们还发现挖矿程序还在运行,这时候我们就可以考虑是否有一个启动项服务一直在自动运行
通过命令msconfig发现启动项文件启动恶意挖矿文件c3pool
经排查,其他的权限维持就没有了
排查入口点
梳理本机资产
查看Windows日志
因为没有web服务,故而我们现在只需要查看本地的Windows日志即可
通过eventvwr.msc查看Windows安全日志,重点看安全日志
根据恶意文件的修改日期,我们可以快速定位到事件发生时间段
可以看到这个日志中展示了,在同一时间内,出现了大量的登录请求,且大部分都是失败的,仅有一个成功。
得出结论
通过本机开放端口和Windows日志分析,基本可以确定是3389端口开放造成的口令爆破。(因为本机并未加入域环境,故而445端口的横向移动不太可能)。
隔离主机
通过防火墙封禁对应的IP地址,同时修改主机管理员账号密码,增强密码强度,限制3389端口的访问,防止再次通过这个入口拿到权限。
同时删除所有的挖矿程序以及启动项、计划任务,最后重启测试一下是否还会出现挖矿病毒。
Linux主机挖矿分析
分析定性
原本没有执行挖矿程序的状态
上传威胁情报平台分析
参考文章
这边仅仅做挖矿病毒在Linux上的展示,具体的实战靶场参考下面的文章,因为环境问题无法复现
评论 (0)