知攻善防 [hvv训练]应急响应靶机训练-挖矿事件
前景需要:机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。
挑战题解:
攻击者的IP地址
攻击者开始攻击的时间
攻击者攻击的端口
挖矿程序的md5
后门脚本的md5
矿池地址
钱包地址
攻击者是如何攻击进入的
相关账户密码: Administrator/zgsf@123
已进入页面立刻就弹了个窗。。。一看到xmrig就知道是和挖矿有关的
打开进程看一下,已经被挖矿病毒干爆了
直接右键打开程序所在的文件夹,可以找到挖矿病毒的源码了
MD5:A79D49F425F95E70DDF0C68C18ABC564
config.json就是相关的配置文件,在里面可以找到矿池地址和钱包地址
矿池地址:auto.c3pool.org:80
钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
使用工具查找一下开机时一闪而过的弹窗,这种一般就是常说的自启动
看到一个比较可疑的bat文件
果然就是那个恶意脚本
MD5:8414900F4C896964497C2CF6552EC4B9
发现注册的服务
查看了一下rdp登录记录,结合前面服务创建的时间大概在20:30的样子,所以大概是192.168.115.131这个IP登录搞的
又看了下登录失败的日志,这个时间很巧妙,20:25:22和上面登录成功的时间一样,有可能是先尝试登录失败了几次突然成功了,很有可能是爆破,至少次数有点少。
又翻了翻没有找到有其他的东西了,除了桌面有个dmz的账号密码和远程连接的软件
呃呃呃看了wp,嗯确实就是爆破进来的。。。
请输入攻击者开始攻击的时间(格式:xxxx-xx-xx xx:xx:xx):2024-05-21 20:25:22
请输入攻击者的IP地址:192.168.115.131
请输入攻击者攻击的端口(格式:xxxx):3389
请输入挖矿程序的md5:A79D49F425F95E70DDF0C68C18ABC564
请输入后门程序md5:8414900F4C896964497C2CF6552EC4B9
请输入矿池地址(仅顶级域名):c3pool.org
请输入攻击者钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y 请输入攻击者是如何攻击进入的(格式:XXXX):暴力破解
