应急响应靶机训练-挖矿事件

靶机介绍

靶机由知攻善防实验室提供

前景需要：机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。

靶机账号密码

administrator/zgsf@123

应急过程

定性

1、打开靶机发现自动启动powershell命令，可能存在计划任务

2、打开任务管理器，发现cpu被占满，结合背景中提到机器越用越卡，第一时间应该想到可能遭遇挖矿攻击
3、打开任务管理器，进程，cup占用排序，发现xmrig.exe进程几乎占用整个cup，这个程序很有可能是挖矿程序

4、对xmrig.exe进行定性，这个文件存在于C:\Users\Administrator\c3pool将此文件放入微步沙箱和奇安信沙箱进行样本分析，都显示为挖矿木马文件，访问样本分析的地址进一步验证为挖矿木马

5、cmd输入resmon可以看到xmrig.exe外联地址为150.109.152.83，放入威胁情报分析，显示为腾讯云主机且与多个木马样本存在联系，近一步证实遭受了挖矿攻击，xmrig.exe为挖矿文件

6、此时事件已经定性，接下来我们需要处置这个挖矿并找到入口点

处置

1、尝试直接结束此exe文件，发现结束后自动重启，结合定性中打开靶机发现自动启动powershell命令，进一步证明可能存在计划任务
2、cmd输入taskschd.msc查看计划任务发现systemTesst最为可疑且创建时间为2024年5月21日尝试禁用此计划任务并关闭xmrig.exe，发现还是无法关闭此挖矿病毒，猜测存在服务自动启动

3、cmd输入services.msc查看服务，重点查找没有描述的服务发现存在c3pool_miner，没有服务描述，且文件路径指向C:\Users\Administrator\c3pool\nssm.exe，与定性中提到的文件路径一致，进一步验证为挖矿服务，禁用此服务，再关闭xmrig.exe，发现cup恢复正常。

4、删除C:\Users\Administrator\c3pool下文件，发现无法删除

5、重启服务器发现自动启动powershell命令，且服务器重新开始挖矿，说明恶意程序可能在以下注册表项中植入启动项

6、通过cmd输入regedit注册表查看启动项

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run： 这个注册表项包含了系统启动时自动运行的程序列表。恶意程序可能会将自己的启动项添加到这里，以确保在系统启动时自动执行。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce： 类似于上面的项，但这里列出的程序只会在下一次系统启动时执行一次。恶意程序可能会选择在这里添加启动项，以确保在下次系统启动时执行一次

7、排查发现一个systems，查看目录为C:\Users\Administrator\AppData\systems.bat
查看systems.bat文件发现执行的命令与开机启动的命令一致，进一步确定为挖矿的bat脚本

8、删除systems.bat和注册表中systems,关闭c3pool_miner服务结束xmrig.exe程序系统恢复正常

此时删除C:\Users\Administrator\c3pool下文件可以删除，且重启后服务器依旧正常

到此处置过程已完成接下来我们需要寻找攻击的入口点

寻找入口点

1、从systems.bat的创建时间可知攻击者的攻击时间在2024年5月21日 20:30分之前

查看服务器无其他服务，猜测入口点为口令爆破

2、因此cmd输入eventvwr.msc查看windows日志时间定在2024年5月21日 20:30分之前

查找id4625发现在2024年5月21日 20:22分有大量的登录失败日志，且远程登录ip为192.168.115.131，且后续登录成功

3、查看防火墙发现3389远程连接开放，且未做任何限制，进一步验证攻击者为口令爆破3389端口植入后门及挖矿程序

到此应急响应结束