知识点
1、应急响应-挖矿病毒-定性&排查
2、应急响应-挖矿病毒-应急&处置
演示案例-蓝队技能-挖矿病毒-样本&定性&排查&应急&处置
挖矿病毒
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。
可以利用个人电脑或服务器进行挖矿,具体现象为CPU拉满,网络阻塞,服务器卡顿等。
挖矿病毒的大致运行植入原理
0、上传执行(怎么造成)
1、攻击者通过上传执行程序或脚本
2、运行程序或脚本,会清理其他同行程序
3、下载的挖掘程序,并写入权限维持技术
排查方向
危害:CPU拉满,网络阻塞,服务器卡顿等
分析定性
1、进程找到文件,文件上传威胁情报平台解析分析
2、网络找到外链,URL&IP上传威胁情报平台解析分析
windows样本
linux样本
应急处置
1、排查重启生效项-windows(计划任务、启动项,服务等)
一、计划任务
二、启动项
三、服务
2、排查重启生效项-linux(启动项,定时任务、守护进程等)
一、开机启动项
查看所有开机自启动项命令
systemctl list-unit-files --type=service | grep enabled
参考:https://blog.csdn.net/qq_39257117/article/details/137068553
二、定时计划任务(cron)
查看当前用户的定时任务
crontab -l
所有root用户定义的 crontab 文件都被保存在 /etc/crontab 目录中
所有非root用户定义的 crontab 文件都被保存在 /var/spool/cron 目录中
三、守护进程
systemctl status PID号
3、排查入口攻击点(借助什么攻击或漏洞进入)
靶场案例-Windows-Server 2022 挖矿事件
Administrator / zgsf@123
参考:https://mp.weixin.qq.com/s/Z789QrPTAopCc7RftAK1QQ
1、如何定性为挖矿事件
2、处置挖矿服务及计划任务
这里一共做了两个权限维持:1、系统计划任务 2、服务
删除这两个权限维持后就可以结束挖矿进程,如果挖矿程序没复发就可以把挖矿文件全部删除,重启后再无挖矿进程就代表清理完毕了。
3、分析挖矿攻击入口点
通过系统日志初步判断是3389爆破进来,攻击者IP为192.168.115.131。
靶场案例-Linux-个人真实服务器被植入挖矿分析
1、如何定性为挖矿事件
2、处置挖矿服务及计划任务
查看当前用户的定时任务
crontab -l
所有root用户定义的 crontab 文件都被保存在 /etc/crontab 目录中
所有非root用户定义的 crontab 文件都被保存在 /var/spool/cron 目录中
3、分析挖矿攻击入口点
要分析对方怎么拿到的服务器权限,需要先知道系统开了哪些端口服务、WEB服务。再来判断这些服务是不是存在突破点(弱口令、未授权、RCE漏洞等)
一般挖矿都是工具自动化批量扫弱口令、未授权等方式进来的。
靶场案例-Linux Centos 挖矿事件
root / 1qaz2wsx3edc
参考:https://mp.weixin.qq.com/s/OuzkbDRVqeNmH_kgptjwug
