程序员经验分享-hwhale

再记一次挖矿病毒应急响应

2023-11-04

一、事件发生背景

办事处部署的TAR产生挖矿告警,如下图(1)TAR挖矿告警所示。告警显示是售前用来存储文件的服务器(IP:10.33.15.240)中了CoinMiner挖矿病毒。

图(1)TAR挖矿告警

二、初步排查判断

通过分析TAR设备告警,登录相关服务器进行排查。使用命令cmd-netstat
-ano。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZZnedtPu-1691579524534)(https://image.3001.net/images/20220219/1645233109_621043d51da92fe5c7330.png!small)]

图(2)命令执行结果

根据TAR提供的矿池地址,查找此服务器的TCP连接,成功定位相关PID为696,如上图(2)命令执行结果所示。

根据PID 696使用命令tasklist | findstr “696”确定运行的恶意服务。成功找到相关PID运行的恶意exe,如下 图(3)恶意exe
所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F69tyvOT-1691579524534)(https://image.3001.net/images/20220219/1645233142_621043f6399b126a01447.png!small)]

图(3)恶意exe

使用命令wmic process where processid=696 get
processid,executablepath,name,成功确定恶意exe文件的位置,如下图(4)恶意exe路径 和 图(5)恶意exe文件 所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-twBsKZix-1691579524535)(https://image.3001.net/images/20220219/1645233157_62104405f0b0be2757840.png!small)]

图(4)恶意exe的位置

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RGGGzxCz-1691579524535)(https://image.3001.net/images/20220219/1645233191_62104427568b919db1359.png!small)]图(5)恶意exe文件

对相关恶意exe在微步云沙箱中检测,分析结果和TAR告警一致,如下图(6)微步沙箱检测所示。

图(6)微步沙箱检测

使用火绒对服务器进行查杀,查杀结果如下图(7)火绒查杀结果
所示。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d3H3O5sA-1691579524536)(https://image.3001.net/images/20220219/1645233279_6210447f278f1b666c780.png!small)]

图(7)火绒查杀结果

三、追踪溯源

查看相关服务器安全日志,发现自2021.11.30 11.40
开始,有大量事件ID为4625的事件记录,源IP为10.33.15.164,使用的账户名为vneus,失败原因账户密码过期。如下图(8)Windows安全日志所示。Windows事件ID
4625记录的是每一个尝试登录失败本地计算机的事件,无论登录类型、用户的位置、账户。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mHM7JnjE-1691579524536)(https://image.3001.net/images/20220219/1645233355_621044cb67feb71a9d395.png!small)]

图(8)Windows安全日志

初步判定是内网相关主机感染病毒之后,病毒程序通过爆破SMB服务,将病毒传染给此服务器。继续分析安全日志,发现在2021.12.01
15:54:25,源IP为10.33.52.50的用户通过venus用户成功登录服务器,如下图(9)Windows安全日志所示。

图(9)Windows安全日志

此时vneus用户密码更新,在2021.12.01
17:15:31,源IP为10.33.53.164的内网主机成功爆破出venus账户密码,如下图(10)Windows安全日志所示。

图(10)Windows安全日志

10.33.15.164无权限查看,等申请之后在进行溯源。

四、事件原因分析。

结合WannaMine 4.0挖矿病毒特性,事件原因分析如下:

  1. 内网主机33.53.164感染WannaMine 4.0挖矿病毒后,病毒程序爆破目标服务器venus用户密码。
  2. venus账户密码过期,爆破一直失败。
  3. 期间有人员正常使用venus用户登录服务器,更新了venus账户密码。
  4. 此时病毒程序成功爆破出venus账户密码。
  5. 病毒程序通过445端口的SMB服务成功将病毒传播给此服务器。

五、改进建议

5.1 关闭445端口

  1. 点击 “控制面板-Windows防火墙”,确保启用了Windows防火墙。在左边栏点击“高级设置”,系统会自动弹出Windows防火墙高级配置窗口。
  2. 点击“入站规则”,然后再点“新建规则”,在向导窗口中选择要创建的规则类型,选“端口”,点击“下一步”。
  3. 接下来选择你要禁用的网络类型(TCP或者UDP),在“特定本地端口”写入你要禁用的端口,例如“445”,然后下一步。选择“阻止连接”,下一步,应用规则看情况修改,可以维持不变,继续下一步,填写名称“禁用445端口”,点击完成。

5.2 修改RDP协议默认端口

  1. 打开注册表。
  2. 找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server \Wds\rdpwd\Tds\Tcp下PortNumber键的键值:0xd3d,是16进制,也就是10进制的3389,也就是RDP协议的端口,改成你欲设的端口。
  3. 找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer \WinStations\RDP-Tcp下PortNumber键的键值:0xd3d,是16进制,也就是10进制的3389,也就是RDP协议的端口,改成你欲设的端口(必须与第一步修改的一致)。
  4. 重启电脑。

六、WannaMine 4.0挖矿病毒

6.1 简介

CoinMiner是WannaMine挖矿病毒最新变种文件,该变种文件基于WannaMine3.0改进,加入了一些新的免杀技术和爆破手段,其传播机制与WannaCry勒索病毒一致,可在局域网内通过SMB快速横向扩散,我们将其命名为WannaMine
4.0,其检测名为CoinMiner.Win64.TOOLXMR.AR。WannaMine4.0挖矿主体病毒文件为dllhostex.exe,负责挖取门罗币。

原始“压缩包”rdpkax.xsl含有攻击需要的所有组件,其是一个特殊的数据包,需要病毒自己解密分离出各个组件,其组件包含“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。

6.2 攻击流程

  1. 主服务dll由系统进程加载,以确保每次都能开机启动,启动后加载spoolsv.exe。
  2. exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe。
  3. exe执行“永恒之蓝”漏洞攻击,成功后安装后门程序spoolsv.exe,加载payload(x86.dll/x64.dll)。
  4. payload(dll/x64.dll)执行后,复制rdpkax.xsl到目标主机,解密后注册主服务,进行新的攻击,每一台被攻击机器都重复着同样的攻击流程。
  5. 与0不同的是,该变种使用了服务文件名称和内容的随机行来进行免杀,进而payload文件与之前版本相比也发生了变化。主服务的命名规则为“字符串1+字符串2+字符串3”,如上面提及的RemoteTimeHost,即Remote+Time+Host。

6.3 如何防范

  1. 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务,关闭方法见改进意见)。
  2. 尽量关闭不必要的文件共享;
  3. 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
  4. 打开系统自动更新,并检测更新进行安装。
  5. 系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新(4013389)补丁程序。

,避免使用弱口令密码,并定期更换密码;
4. 打开系统自动更新,并检测更新进行安装。
5. 系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新(4013389)补丁程序。

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

前端

Windows

web安全

安全

运维

再记一次挖矿病毒应急响应 的相关文章

  • 在 .NET 中获取远程计算机上环境变量的实际值

    我正在尝试获取实际值 of 环境变量 这是我到目前为止所拥有的 string query string Format Select VariableValue From Win32 Environment Where Name 0 vari

  • PHP 7.0.5:使用未定义的常量 FTP_BINARY - 假定为“FTP_BINARY”

    在 Windows IIS 上升级到 PHP 7 0 5 终于有了 sqlsrv PDO 驱动程序 我正在使用 Laravel 5 1 当尝试连接到 FTP 驱动器时 出现以下错误https github com thephpleague

  • 使 GetRawInputDeviceInfo 和 RIDI_DEVICEINFO 与 C# 一起使用

    我有一个问题 我似乎无法使 GetRawInputDeviceInfo 与 RIDI DEVICEINFO 结合使用 尝试检索 RID DEVICE INFO 根本不起作用 我从函数中得到错误 1 这意味着没有足够的空间来存储 RID DE

  • Node.js - 将数据缓冲到 Ffmpeg

    我使用 Node js 和 Ffmpeg 来创建动画 因为我试图避免第三方 avi mp4 解析器 所以我决定将动画输出为原始 rgb24 数据文件 然后使用一些程序将其转换为 mp4 文件 我发现 Ffmpeg 是免费且开源的 它完全可以

  • 如何运行 Windows 批处理文件但隐藏命令窗口?

    如何运行 Windows 批处理文件但隐藏命令窗口 我不希望 cmd exe 在执行文件时在屏幕上可见 这可能吗 如果你写一个非托管程序并使用创建进程 https learn microsoft com en us windows win3

  • 对 .NET Windows 安装程序应用程序执行注册表搜索

    我有一个 NET winform 安装程序应用程序 在安装之前 我会进行注册表搜索以检查计算机上是否安装了 MS Access Runtime 搜索目标机器 搜索目标机器的属性 启动条件 启动条件的属性 但是我想避免对路径进行硬编码 例如

  • Visual C++ free 和 malloc 的线程安全性?

    有谁知道 free 和 malloc 在 Visual C 2010 上是否是线程安全的 我遇到了奇怪的问题 内存被损坏 我几乎认为这是唯一的可能性 有谁知道安全装置是否可以打开和关闭以及如何打开和关闭 前提是您链接的是线程安全库 http

  • 如何在 Windows 上检查子进程是否被信号杀死

    问题 给定一个在 python 中启动的子进程 其代码类似于 import subprocess p subprocess Popen command stdout subprocess PIPE stderr subprocess PIP

  • 通过 PsExec 在远程计算机中执行批处理文件

    我正在尝试通过 PSExec 在远程 PC 上运行批处理文件 在批处理文件中我刚刚编写了 记事本 下面的 psexec 命令在我的笔记本电脑上运行 但无法在远程 PC 上执行任何操作 我什至没有看到 记事本 在远程计算机的进程列表上运行 c

  • 无法在 Windows 7 上安装 Android USB 驱动程序

    所以我想使用我的新 Nexus 5 来调试我的应用程序 我尝试通过以下方式安装 Android USB 驱动程序装置经理 http developer android com tools extras oem usb html Win7但我

  • Windows docker:权限被拒绝 /var/run/docker.sock

    当我尝试使用自动发现运行 filebeat 时 出现以下错误 退出 自动发现提供程序设置中出现错误 已获得权限 尝试连接到 Docker 守护程序套接字时被拒绝 unix var run docker sock 获取http 2Fvar 2

  • LNK2019:函数 ___tmainCRTStartup 中引用了无法解析的外部符号 _main

    我有以下错误 LNK2019 函数 tmainCRTStartup 中引用了无法解析的外部符号 main 有很多与此错误相关的线程 但这些解决方案都不适合我 而且 没有人解释为什么会出现这个错误 I tried wWinMainCRTSta

  • 在VB.net中动态添加用户控件

    我在 Vb net Windows 应用程序 中制作了自定义 UserControl 如何将其动态添加到表单中 UserControl 本质上只是另一个类 它继承自 Control 因此您可以使用控件执行各种操作 但除此之外它只是一个类 因

  • 如何使用C++在Windows中获取MAC地址? [关闭]

    就目前情况而言 这个问题不太适合我们的问答形式 我们希望答案得到事实 参考资料或专业知识的支持 但这个问题可能会引发辩论 争论 民意调查或扩展讨论 如果您觉得这个问题可以改进并可能重新开放 访问帮助中心 help reopen questi

  • Windows 相当于 Unix find 命令,用于搜索多种文件类型

    虽然在 Windows 中安装了 cygwin 可以提供大部分 unix 命令 但我仍然想知道如何使用 Windows find 命令在一个命令中搜索多个文件类型 ie find name cpp o name h o name java

  • 虚拟USB设备的安装与仿真

    我已经读过创建虚拟USB设备 https stackoverflow com questions 5016363 creating a virtual usb device and 虚拟USB设备 https stackoverflow c

  • TCHAR 仍然相关吗?

    我是 Windows 编程新手 在读完 Petzold 的书后 我想知道 使用TCHAR类型和 T 函数来声明字符串或者我应该使用wchar t and L 新代码中的字符串 我将仅针对现代 Windows 截至撰写本文时版本 10 和 1

  • GetEventLogs() 返回没有设置事件日志?

    采取以下 C 代码 EventLog eventLogs eventLogs EventLog GetEventLogs computername foreach EventLog evt in eventLogs statusMessag

  • 获取Windows下新线程/删除线程的通知

    创建 DLL 时 您可以在 DllMain 函数 DLL THREAD ATTACH DLL THREAD DETACH 中获取有关新线程 退出线程的通知 有没有办法在 非托管 可执行文件中从 Windows 获取这些或等效通知 是的 在您

  • 如何使用批处理文件创建 EXE 可执行文件? [复制]

    这个问题在这里已经有答案了 我希望能够简单地运行 Windows 批处理文件并让它创建 exe 可执行文件 我知道您可以使用以下脚本批量创建文件 echo off echo This will be in a text file gt gt

随机推荐

  • Native层HIDL服务的注册原理-Android10.0 HwBinder通信原理(六)

    Android取经之路 的源码都基于Android Q 10 0 进行分析 Android取经之路 系列文章 系统启动篇 Android系统架构Android是怎么启动的Android 10 0系统启动之init进程Android10 0系

  • Altium Designer20下绘制原理图、原理图库文件

    文章目录 前言 一 新建工程 二 原理图绘制 1 原理图的图纸大小设置 2 原理图的放大与缩小 3 元器件的选择与放置 4 画图及技巧 三 原理图库文件的绘制 总结 前言 本文的主要内容是使用Altium Designer20软件绘制原理图

  • Springboot整合easyExcel

    Springboot整合easyExcel 介绍 Entity实体类 下载模板 上传Excel文件 上传Excel 前端页面 测试 介绍 平时工作中 我们经常都会用到excel文件上传或者下载的问题 比如将表数据导出为excel表格或者进行

  • 流媒体领域信息

    1 原力 p2p 点播系统 http www forcetech net cn index html

  • 将el-table的每一行变成超链接

    需求描述 最近接到一个奇怪的需求 产品说想要在右击el table的每一行后弹出浏览器的右击菜单 浏览器在你右击一个超链接之后弹出的菜单 因为交流出现问题 刚开始我以为要模拟浏览器的右击菜单 调整了一堆样式 调好之后问产品 才知道是要弹出浏

  • SourceTree简介

    声明 1 4是来自简书的非个人作品 仅仅保存资料学习使用 一 SourceTree简介 SourceTree 是 Windows 和Mac OS X 下免费的 Git 和 Hg 客户端 拥有可视化界面 容易上手操作 同时它也是Mercuri

  • Java入门知识(超详细讲解)

    作者简介 练习时长两年半的Java up主 个人主页 老茶icon ps 点赞 是免费的 却可以让写博客的作者开兴好久好久 系列专栏 Java全栈 计算机系列 火速更新中 格言 种一棵树最好的时间是十年前 其次是现在 动动小手 点个关注不迷

  • 网页中有大量图片加载很慢,用什么方法进行优化

    图片预加载 原理 在网页全部加载之前 提前加载图片 当用户需要查看图片时 可以从本地缓存中直接渲染 提供用户更好的体验 减少等待时间 const imgs https alifei01 cfp cn creative vcg veer 80

  • linux编译谷歌浏览器方法,构建Linux版本的谷歌Chrome浏览器

    Chromium编译说明 Linux版 此页描述如果在Linux操作系统上编译构建Chromium浏览器 假如你对测试chromium或想移植chromium到别的平台请你继续阅读 小提示 目前还没有在Linux运行的Chromium浏览器

  • 虚拟机扩容——非LVM分区

    虚拟机扩容 非LVM分区 前提说明 实验环境 一 加载到已有路径 在原有磁盘基础上扩容 1 准备工作 2 开机 查看磁盘扩容后的状态 3 进行分区扩展磁盘 记住根分区起始位置和结束位置 4 删除根分区 切记不要保存 5 创建分区 箭头位置为

  • php使用curl_exec 获取响应头存在多个HEADER问题解决

    前言 近期在接一个第三方支付的时候 遇到一个比较头大的问题 因为第三方会把部分响应结果放在header里传输 需要从头里取数据后解密使用 我在本地是正常的 但是放到服务器上就一直是失败 因为取不到对应的头部信息 找了很久原因也没能找到具体问

  • 【云原生之Docker实战】使用docker部署nginx-proxy-manager-zh反向代理工具

    云原生之Docker实战 使用docker部署nginx proxy manager zh反向代理工具 一 nginx proxy manager zh介绍 1 nginx proxy manager zh简介 2 nginx proxy

  • Git的使用(三)——保存用户名和密码

    通过上两篇我们对Git应该都有了基本的了解了 但是有一个问题对于生性懒惰的程序员 说的是我 来说是非常枯燥无味的 那就是每次的提交都要输入密码 每次都要干重复的事情 这对于程序员来说是最不喜欢干的事情了 重复 所以这次就先把这个问题解决了再

  • 实现两视频叠加时上层剪辑透明部分不遮挡下层内容的两种方案

    前往老猿Python博客 https blog csdn net LaoYuanPython 一 引言 在 moviepy音视频剪辑 使用rotate函数实现视频变换处理以及参数expand取值为True时的花屏问题解决方案 介绍了视频旋转

  • 区块链在新基建中的地位和作用如何体现出来?

    2020年4月17日 我们国务院办公厅在新闻发布会上 公布了一季度GDP的增长情况 是 6 8 这也是我们改革开放以来 首次季度GDP出现下降 而且降幅巨大 当然 这里面有客观因素的存在 就是突然其来的新冠疫情 对于我们一月 二月正常的经济

  • pg 创建分区表 --chatGpt

    问 postgreSql 创建表 addresses id mkey pri addr 其中 id自增且id值会超过上百亿 mkey长度为8且唯一的字符串 pri长度64的字符串 addr长度64的字符串 用散列分区的方式创建 gpt 你可

  • springboot个性化课程推荐系统个性化课程推荐系统毕业设计源码131805

    Springboot个性化课程推荐系统 摘 要 随着计算机技术的发展 特别是计算机网络技术与数据库技术的发展 使用人们的生活与工作方式发生了很大的改观 本课题研究的个性化课程推荐系统 主要功能模块包括学生管理 课程管理 课程分类 课程学习管

  • React项目中请求接口的封装

    封装目录中所包含的文件 Api js ApiIp js ApiURL js ApiIp js文件的作用 这个文件的作用主要是在开发环境和生产环境下调用不同的接口请求地址 生产环境下此文件的作用是动态 的获取浏览器中的地址进行拼装 便可以动态

  • 数据挖掘研究方向、热点以及对大数据研究的认识

    日期 2015 07 07 来源 博客园 作者 chuanting zhang 字体 大中 小 通过上网查询以及看同行对会议的公共认识 数据挖掘领域的顶级会议是KDD ACM SIGKDD Conference on Knowledge D

  • 再记一次挖矿病毒应急响应

    一 事件发生背景 办事处部署的TAR产生挖矿告警 如下图 1 TAR挖矿告警所示 告警显示是售前用来存储文件的服务器 IP 10 33 15 240 中了CoinMiner挖矿病毒 图 1 TAR挖矿告警 二 初步排查判断 通过分析TAR设

热门标签

Powered by Hwhale