再记一次挖矿病毒应急响应

已于 2024-01-06 18:31:01 修改
阅读量682 收藏 2
点赞数
文章标签: 网络 github
于 2023-08-09 19:03:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59598029/article/details/132194863
版权

一、事件发生背景

办事处部署的TAR产生挖矿告警,如下图(1)TAR挖矿告警所示。告警显示是售前用来存储文件的服务器(IP:10.33.15.240)中了CoinMiner挖矿病毒。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7AndDiPL-1691574500545)(https://image.3001.net/images/20220219/1645233089_621043c1db48cfff5b845.png!small)]

图(1)TAR挖矿告警

二、初步排查判断

通过分析TAR设备告警,登录相关服务器进行排查。使用命令cmd-netstat
-ano。

图(2)命令执行结果

根据TAR提供的矿池地址,查找此服务器的TCP连接,成功定位相关PID为696,如上图(2)命令执行结果所示。

根据PID 696使用命令tasklist | findstr “696”确定运行的恶意服务。成功找到相关PID运行的恶意exe,如下 图(3)恶意exe
所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qGjTkSWz-1691574500547)(https://image.3001.net/images/20220219/1645233142_621043f6399b126a01447.png!small)]

图(3)恶意exe

使用命令wmic process where processid=696 get
processid,executablepath,name,成功确定恶意exe文件的位置,如下图(4)恶意exe路径 和 图(5)恶意exe文件 所示。

图(4)恶意exe的位置

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6I9FO8lT-1691574500548)(https://image.3001.net/images/20220219/1645233191_62104427568b919db1359.png!small)]图(5)恶意exe文件

对相关恶意exe在微步云沙箱中检测,分析结果和TAR告警一致,如下图(6)微步沙箱检测所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oKeOqMkQ-1691574500549)(https://image.3001.net/images/20220219/1645233262_6210446e1eceabc7ec69a.png!small)]

图(6)微步沙箱检测

使用火绒对服务器进行查杀,查杀结果如下图(7)火绒查杀结果
所示。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2NskXfhu-1691574500549)(https://image.3001.net/images/20220219/1645233279_6210447f278f1b666c780.png!small)]

图(7)火绒查杀结果

三、追踪溯源

查看相关服务器安全日志,发现自2021.11.30 11.40
开始,有大量事件ID为4625的事件记录,源IP为10.33.15.164,使用的账户名为vneus,失败原因账户密码过期。如下图(8)Windows安全日志所示。Windows事件ID
4625记录的是每一个尝试登录失败本地计算机的事件,无论登录类型、用户的位置、账户。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H59qmtnt-1691574500550)(https://image.3001.net/images/20220219/1645233355_621044cb67feb71a9d395.png!small)]

图(8)Windows安全日志

初步判定是内网相关主机感染病毒之后,病毒程序通过爆破SMB服务,将病毒传染给此服务器。继续分析安全日志,发现在2021.12.01
15:54:25,源IP为10.33.52.50的用户通过venus用户成功登录服务器,如下图(9)Windows安全日志所示。

图(9)Windows安全日志

此时vneus用户密码更新,在2021.12.01
17:15:31,源IP为10.33.53.164的内网主机成功爆破出venus账户密码,如下图(10)Windows安全日志所示。

图(10)Windows安全日志

10.33.15.164无权限查看,等申请之后在进行溯源。

四、事件原因分析。

结合WannaMine 4.0挖矿病毒特性,事件原因分析如下:

  1. 内网主机33.53.164感染WannaMine 4.0挖矿病毒后,病毒程序爆破目标服务器venus用户密码。
  2. venus账户密码过期,爆破一直失败。
  3. 期间有人员正常使用venus用户登录服务器,更新了venus账户密码。
  4. 此时病毒程序成功爆破出venus账户密码。
  5. 病毒程序通过445端口的SMB服务成功将病毒传播给此服务器。

五、改进建议

5.1 关闭445端口

  1. 点击 “控制面板-Windows防火墙”,确保启用了Windows防火墙。在左边栏点击“高级设置”,系统会自动弹出Windows防火墙高级配置窗口。
  2. 点击“入站规则”,然后再点“新建规则”,在向导窗口中选择要创建的规则类型,选“端口”,点击“下一步”。
  3. 接下来选择你要禁用的网络类型(TCP或者UDP),在“特定本地端口”写入你要禁用的端口,例如“445”,然后下一步。选择“阻止连接”,下一步,应用规则看情况修改,可以维持不变,继续下一步,填写名称“禁用445端口”,点击完成。

5.2 修改RDP协议默认端口

  1. 打开注册表。
  2. 找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server \Wds\rdpwd\Tds\Tcp下PortNumber键的键值:0xd3d,是16进制,也就是10进制的3389,也就是RDP协议的端口,改成你欲设的端口。
  3. 找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer \WinStations\RDP-Tcp下PortNumber键的键值:0xd3d,是16进制,也就是10进制的3389,也就是RDP协议的端口,改成你欲设的端口(必须与第一步修改的一致)。
  4. 重启电脑。

六、WannaMine 4.0挖矿病毒

6.1 简介

CoinMiner是WannaMine挖矿病毒最新变种文件,该变种文件基于WannaMine3.0改进,加入了一些新的免杀技术和爆破手段,其传播机制与WannaCry勒索病毒一致,可在局域网内通过SMB快速横向扩散,我们将其命名为WannaMine
4.0,其检测名为CoinMiner.Win64.TOOLXMR.AR。WannaMine4.0挖矿主体病毒文件为dllhostex.exe,负责挖取门罗币。

原始“压缩包”rdpkax.xsl含有攻击需要的所有组件,其是一个特殊的数据包,需要病毒自己解密分离出各个组件,其组件包含“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。

6.2 攻击流程

  1. 主服务dll由系统进程加载,以确保每次都能开机启动,启动后加载spoolsv.exe。
  2. exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe。
  3. exe执行“永恒之蓝”漏洞攻击,成功后安装后门程序spoolsv.exe,加载payload(x86.dll/x64.dll)。
  4. payload(dll/x64.dll)执行后,复制rdpkax.xsl到目标主机,解密后注册主服务,进行新的攻击,每一台被攻击机器都重复着同样的攻击流程。
  5. 与0不同的是,该变种使用了服务文件名称和内容的随机行来进行免杀,进而payload文件与之前版本相比也发生了变化。主服务的命名规则为“字符串1+字符串2+字符串3”,如上面提及的RemoteTimeHost,即Remote+Time+Host。

6.3 如何防范

  1. 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务,关闭方法见改进意见)。
  2. 尽量关闭不必要的文件共享;
  3. 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
  4. 打开系统自动更新,并检测更新进行安装。
  5. 系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新(4013389)补丁程序。

,避免使用弱口令密码,并定期更换密码;
4. 打开系统自动更新,并检测更新进行安装。
5. 系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新(4013389)补丁程序。

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

教IT的小强
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
应急响应挖矿病毒与勒索病毒
剁椒鱼头没剁椒的博客
10-31 1019
个人理解,大佬就别喷了,了解一下就可以了,真正遇到这些问题的时候,有时候也不一定能够解决,最终都有可能回归到重装系统上面。包括说什么装杀毒软件、打补丁、升级系统,这些都应该是再事件发生前做的工作,而不是发生后做的工作,如果这些工作在事件发生前就做好的话,大概率也不会被这些病毒感染。
最新挖矿病毒xmrig清除方法和原理
最新发布
m0_73140589的博客
03-21 1966
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、MSSQL日志分析、MySQL日志分析;权限维持篇:Windows权限维持--后门篇、Linux权限维持--隐藏篇、Linux权限维持--后门篇、三大渗透测试框架权限维持技术、常见WebShell管理工具;Windows实战篇:FTP暴力破解、蠕虫病毒、勒索病毒、ARP病毒挖矿病毒;Linux实战篇:SSH暴力破解、捕捉短连接、挖矿病毒、盖茨木马、DDOS病毒;Web实战篇:网站被植入Webshell、批量挂黑页、新闻源网站劫持、移动端劫持、搜索引擎劫持、网站首页被篡改、编辑器入侵事件等
典型的恶意挖矿恶意代码家族及自查方法.docx
02-11
典型的恶意挖矿恶意代码家族及自查方法
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
Wannamine家族挖矿病毒处置
qq_51068285的博客
02-15 2713
wannamine的手动处置
挖矿病毒之CoinMiner入侵SQLServer
黑白的博客
06-26 4893
挖矿病毒之CoinMiner入侵SQLServer
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4449
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
乱下东西导致挖矿病毒Trojan,CoinMiner的解决记录
m0_53419552的博客
06-30 8500
乱下东西导致挖矿病毒Trojan,CoinMiner的解决记录
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留hou门、植入GPU WK程序——事件复现(靶场下载地址)
03-02
靶场 对应 应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/122963589?spm=1001.2014.3001.5502
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
服务器中了挖矿病毒的检测及删除方法
penriver的博客
12-13 8259
本文提供了服务器中了挖矿病毒的检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
2021网络安全应急响应分析报告
glb111的博客
02-19 825
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
恶意挖矿木马防范指南
hackzkaq的博客
01-17 113
近几年随着全球对虚拟货币的不断炒作,虚拟货币价格水涨船高,除主流比特币外,市场上涌现出了以太坊、莱特币、泰达币、艾达币等多个加密货币。“挖矿”的概念最早出现于中本聪2008年发布的论文《比特币:一种点对点电子货币系统》,意为通过消耗CPU的计算时间和电力,以类似于黄金开采商消耗资源的方式,稳定获得一定数量的电子货币,是用算力(哈希)处理交易并获得奖励的过程。由于“挖矿”过程中需要消耗大量的计算机资源,为了提高算力,国内市场上相继出现了CPU挖矿、GPU挖矿、FPGA挖矿、ASIC挖矿
linux挖矿病毒查杀
09-10
根据引用提供的信息,挖矿病毒在Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值