应急响应靶机 —— 挖矿事件
靶场链接:
一、靶场信息
1.1 背景
机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。
1.2 挑战
①攻击者的IP地址
②攻击者开始攻击的时间
③攻击者攻击的端口
④挖矿程序的md5
⑤后门脚本的md5
⑥矿池地址
⑦钱包地址
⑧攻击者是如何攻击进入的
1.3 注意
直接Vmware打开即可,如若打不开,请使用最新版本Vmware
1.4 相关账号密码
账号:Administrator
密码:zgsf@123
1.5 关于解题
运行桌面上的解题工具即可
二、简单分析
一般检查方法见应急响应靶机——Windows 1
①攻击者的IP地址
可检查web日志或者登录日志
②攻击者开始攻击的时间
可检查web日志或者登录日志
③攻击者攻击的端口
可根据攻击者入侵点判断
④挖矿程序的md5
检查CPU占用高的程序、可上传到云沙箱中分析
⑤后门脚本的md5
排查计划任务、shift后门等
⑥矿池地址
可检查挖矿程序的配置文件或者启动脚本
⑦钱包地址
可检查挖矿程序的配置文件或者启动脚本
⑧攻击者是如何攻击进入的
可根据web日志、主机日志等判断
三、题解
查看IP后,用远程桌面连接,方便传输文件(安装VMtools后,可能会导致挖矿程序中断)
先检查任务管理器,查看CPU占用高的程序
定位到文件夹,计算挖矿程序MD5
上传火绒剑检查计划任务,发现未知文件
右键-查看文件,定位查看文件内容,是一段powershell脚本
看不懂,可以问AI,钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
查询脚本中的下载链接,微步情报为 公共矿池
计算后门脚本MD5:8414900f4c896964497c2cf6552ec4b9
上传日志检查工具,查看登录失败日志,发现 192.168.115.131 有大量登录失败记录,最早时间为 2024-05-21 20:25:22
再查看登陆成功日志,192.168.115.131 有登录成功记录,可判断攻击者是通过暴力破解进来的
查看远程桌面服务的注册表,PortNumber 值为 3389 未被更改
四、提交flag
整理flag,提交
MD5需转换成大写、矿池地址仅需顶级域名