当前位置: 首页> 游戏> 单机 > 蓝队技能-应急响应篇挖矿病毒系统样本家族威胁情报异常定性排查分析处置封锁

蓝队技能-应急响应篇挖矿病毒系统样本家族威胁情报异常定性排查分析处置封锁

时间:2025/7/11 15:48:49来源:https://blog.csdn.net/m0_60571842/article/details/141402692 浏览次数:0次

知识点

1、应急响应-挖矿病毒-定性&排查
2、应急响应-挖矿病毒-应急&处置

演示案例-蓝队技能-挖矿病毒-样本&定性&排查&应急&处置

挖矿病毒
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。
可以利用个人电脑或服务器进行挖矿,具体现象为CPU拉满,网络阻塞,服务器卡顿等。

挖矿病毒的大致运行植入原理
0、上传执行(怎么造成)
1、攻击者通过上传执行程序或脚本
2、运行程序或脚本,会清理其他同行程序
3、下载的挖掘程序,并写入权限维持技术

排查方向
危害:CPU拉满,网络阻塞,服务器卡顿等

分析定性
1、进程找到文件,文件上传威胁情报平台解析分析
2、网络找到外链,URL&IP上传威胁情报平台解析分析

windows样本

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

linux样本

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

应急处置

1、排查重启生效项-windows(计划任务、启动项,服务等)

一、计划任务
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
二、启动项
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

三、服务
在这里插入图片描述

2、排查重启生效项-linux(启动项,定时任务、守护进程等)

一、开机启动项
查看所有开机自启动项命令

systemctl list-unit-files --type=service | grep enabled

参考:https://blog.csdn.net/qq_39257117/article/details/137068553

二、定时计划任务(cron)
查看当前用户的定时任务

crontab -l

在这里插入图片描述

所有root用户定义的 crontab 文件都被保存在 /etc/crontab 目录中
所有非root用户定义的 crontab 文件都被保存在 /var/spool/cron 目录中

在这里插入图片描述
三、守护进程

systemctl status PID号

在这里插入图片描述

3、排查入口攻击点(借助什么攻击或漏洞进入)

靶场案例-Windows-Server 2022 挖矿事件

Administrator / zgsf@123

参考:https://mp.weixin.qq.com/s/Z789QrPTAopCc7RftAK1QQ

1、如何定性为挖矿事件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、处置挖矿服务及计划任务

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里一共做了两个权限维持:1、系统计划任务 2、服务
删除这两个权限维持后就可以结束挖矿进程,如果挖矿程序没复发就可以把挖矿文件全部删除,重启后再无挖矿进程就代表清理完毕了。

3、分析挖矿攻击入口点

在这里插入图片描述
在这里插入图片描述
通过系统日志初步判断是3389爆破进来,攻击者IP为192.168.115.131。

靶场案例-Linux-个人真实服务器被植入挖矿分析

1、如何定性为挖矿事件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、处置挖矿服务及计划任务

查看当前用户的定时任务

crontab -l

在这里插入图片描述

所有root用户定义的 crontab 文件都被保存在 /etc/crontab 目录中
所有非root用户定义的 crontab 文件都被保存在 /var/spool/cron 目录中

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、分析挖矿攻击入口点

要分析对方怎么拿到的服务器权限,需要先知道系统开了哪些端口服务、WEB服务。再来判断这些服务是不是存在突破点(弱口令、未授权、RCE漏洞等)
一般挖矿都是工具自动化批量扫弱口令、未授权等方式进来的。

在这里插入图片描述
在这里插入图片描述

靶场案例-Linux Centos 挖矿事件

root / 1qaz2wsx3edc

参考:https://mp.weixin.qq.com/s/OuzkbDRVqeNmH_kgptjwug

关键字:蓝队技能-应急响应篇挖矿病毒系统样本家族威胁情报异常定性排查分析处置封锁

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

责任编辑: