一、事件背景
某天客户反馈:服务器疑似被入侵,风扇噪声很大。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中)
受害服务器: Windows2008 系统、IP: 192.168.226.137、无WEB服务
二、应急响应过程
根据客户反馈:“风扇噪声很大”,一般只有消耗CPU很多的情况下,服务器高温,风扇才会一直转,说明服务器可能感染wakuang病毒了
2.1 排查服务器是否感染WaKuang病毒
登录进服务器之后,看到桌面下面有一个java程序在运行
点开java图标之后,发现该程序一直在访问域名:mine.c3pool.com:13333
微步查看域名:mine.c3pool.com,确认是矿池域名,此java程序是wakuang病毒
之后查看服务器的CPU和内存使用率,发现名为javs.exe的程序内存使用率极大
之后点击 javs.exe程序的属性
在属性栏中找到程序的位置:C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe
进入C:\Users\Administrator\Downloads\wkbd\wkbd目录发现确实是wakuang程序
查看config.json文件,里面是矿池域名和WaKuang钱包
将javs.exe程序放在微步云沙箱跑一下,确实是恶意文件
既然发现是wakuang程序,那么把 javs.exe程序结束进程,终止WaKuang
终止 javs.exe程序之后,过了几分钟, javs.exe程序又再次出现了,并且消耗CPU 99%,怀疑可能存在计划任务
查看任务计划程序
在任务计划程序中,发现一个名字为 system 的计划任务,计划任务启动的文件是:C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe,正是我们之前发现的WaKuang程序
查看这个WaKuang病毒的创建者是Administrator ,创建时间是2022-03-23 9:46:17
小结:
1、WaKuang病毒位置:C:\Users\Administrator\Downloads\wkbd\wkbd\ 目录
2、存在挖矿程序的计划任务,任务名字system
删除挖矿程序的计划任务,删除C:\Users\Administrator\Downloads\wkbd\wkbd\ 目录
2.2 排查服务器后门
2.2.1 查看可疑进程
使用Autoruns工具查看服务器所有的进程,其中背景颜色为粉红色的程序,经排查均不是恶意程序,服务器不存在恶意程序
2.2.2 查看启动项
启动项正常
2.2.3 查看计划任务
计划任务正常,下图的是 windows server 2008的激活工具,之前的挖矿程序计划任务已删除
2.2.4 查看服务
未发现可疑服务
2.2.5 查看镜像劫持
发现了 shift粘贴键后门,后门路径是C:\windows\system32\cmd.exe,可以在不登陆服务器的情况下,以administrator权限执行cmd
2.2.6 查看隐藏账户
通过 控制面板-》用户账户-》管理账户查看当前系统的所有账户未发现异常,只有administrator和guest
通过注册表编辑器,查看发现隐藏账户:wxiaoge$
2.3 排查网络连接
未发现异常
使用命令 netstat -ano 查看网络连接
小结:
1、存在Windows系统隐藏账户
2、存在shift粘贴键后门
三、应急响应溯源
3.1 查看WaKuang病毒计划任务创建时间
查看这个WaKuang病毒的创建者是Administrator ,创建时间是2022-03-23 9:46:17
3.2 排查安全日志
3.2 .1 提取安全日志
方法一:
首先使用evtx提取系统的日志,将evtx工具传到windows server 2008服务器上,因为该服务为64位,所以进入到 evtx_0x64 目录,之后以管理员身份运行 evtx.exe 文件
运行 evtx.exe 文件之后,日志成功提取,在evtx目录下会生成一些日志文件,如下图所示
方法二:
查看“事件查看器”
点开 windows日志,之后在右边有个“将所有事件另存为”
之后就可以保存所有的安全事件
3.2 .2 分析安全日志
将提取出来的日志,放到logon下的data里面(之前的日志需要全部删除)
然后运行bin目录里面的Run.bat程序即可。
如下所示,是运行结束后统计的各种表格
查看data目录下的4625.csv文件,此文件记录的是所有登录失败的信息,发现2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27,有黑客爆破Administrator账户,但是均没有记录到攻击IP
但是在2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27期间有审核成功的记录,但是没有IP地址,可能是黑客使用爆破工具成果爆破出Administrator账户密码
紧接着 2022/3/21 16:27:12,IP:192.168.226.1成功登录该服务器
继续排查在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$
之后将 wixoage$ 隐藏账户添加到超级管理员组,具有超级管理员权限
之后查看系统日志,发现在 2022/3/23 9:36:02 服务器去解析 xmr.usa-138.com 域名,而此域名是公共矿池,说明此时已经植入挖矿程序并且运行
注意:
logon工具使用的前提:电脑需要安装 LogParser 工具,不然表格会没有任何数据
LogParser 工具安装参考地址:
https://zhuanlan.zhihu.com/p/57092216
https://zhuanlan.zhihu.com/p/57092216?ivk_sa=1024320u
3.2 溯源总结
**根据日志推测:**黑客(IP:192.168.226.1)在 2022/3/21 16:26:19——2022/3/21 16:26:27对windows server 2008服务器进行暴力破解,并且成功爆破administrator账户,之后在2022/3/21 16:27:12,IP:192.168.226.1成功登录该服务器,在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$,在2022/3/23 9:36:02 植入挖矿程序并且运行,在2022-03-23 9:46:17创建挖矿程序的计划任务
至此,应急响应模拟实战结束,成功找到后门并溯源文章来源:https://www.toymoban.com/news/detail-437975.html
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
文章来源地址https://www.toymoban.com/news/detail-437975.html
到了这里,关于一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
