-
一、应急响应
(演示时将木马程序删除了于是WP随缘写吧)
1. 发现异常程序
电脑风扇声音大,发现有一个javs.exe正在运行,且该程序一直在访问域名:mine.c3pool.com:13333
用微步查询可得该域名为矿池域名,于是该程序为挖矿程序
打开任务管理器发现javs程序的cpu占用率很高,打开文件位置并终止该进程
约一分钟后该进程又出现了,怀疑有计划任务
打开计划任务管理器发现有计划任务,创建人,和创建时间
删除该病毒文件,删除计划任务
2. 排查后门
Autoruns镜像劫持发现shift粘滞键后门
删除该后门
3. 排查隐藏用户
打开注册表发现存在隐藏用户
删除隐藏用户
4. 排查网络连接
命令行输入netstat -ano
网络连接正常
-
二、溯源
-
1.日志
1.1 日志提取(以管理员身份运行evtx)
将提取的日志文件复制粘贴到logon的data文件夹中(先清空)
运行logon的bin文件夹中的Run.bat
data文件夹中得到后缀为csv的数据文件
1.2 审查日志
代码为4625的是用户账户登录失败日志,短时间的大量失败说明有可能遭到了爆破攻击
再看4624发现失败时间后紧接着成功登录,攻击方IP为127.0.0.1
打开事件查看器查看Windows安全日志
代码4728的日志
表示创建隐藏用户krroot
代码4732的日志
表示将隐藏用户krroot添加到超级管理员
再看系统日志
发现有解析挖矿域名的日志,表明此时已经植入挖矿程序并开始运行