一、靶机介绍
前景需要:机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。
挑战题解:
攻击者的IP地址
攻击者开始攻击的时间
攻击者攻击的端口
挖矿程序的md5
后门脚本的md5
矿池地址
钱包地址
攻击者是如何攻击进入的
相关账户密码:
Administrator/zgsf@123
二、解题过程
打开靶机,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重
进行排查,发现异常进程
使用下列方式查询xmrig.exe进程相关信息:
wmic process where caption=”xmrig.exe” get caption,commandline /value
发现挖矿程序
上传火绒剑进行分析,发现异常启动项
打开异常启动项的脚本分析,发现是下载挖矿程序的恶意脚本
矿池地址:c3pool.org
钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
对挖矿程序和后门脚本进行md5加密:
挖矿程序的md5:6DDDCC42AE5B6DC7477F6181B63E481D
后门脚本的md5:8414900F4C896964497C2CF6552EC4B9
尝试将挖矿进程关闭,发现关闭不了
通过进程ID找到相关联的进程,父进程为2496
找到进程ID为2496的服务项,发现服务项c3pool_miner存在异常
选择可疑服务项,右键属性,停止服务,启动类型:禁止。
停止服务后,发现靶机CPU资源使用情况恢复正常
接下来我们分析windows的系统日志,使用APT-Hunter工具的powershell
日志收集器自动收集日志信息,将得到的日志解压,分析导出来的结果
APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport
-p:提供包含使用powershell日志收集器提取的日志的解压路径
-o:输出生成项目的名称
查看安全日志发现攻击者对靶机进行暴力破解
开始攻击时间:2024-05-21 20:25:22
攻击者IP:192.168.115.131
查看靶机端口开放情况,靶机开放了3389端口,可以猜测攻击者通过对3389端口进行暴力破解攻入靶机
将得到的答案整理,提交(挖矿程序的md5这里不知道为什么答案错误,后门看题解直接复制题解里面的答案提交的:A79D49F425F95E70DDF0C68C18ABC564)