当前位置: 首页 > article >正文

[ 应急响应靶场实战 ] VMware 搭建win server 2012应急响应靶机 攻击者获取服务器权限上传恶意病毒 防守方人员应急响应并溯源

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

  • 🍬 博主介绍
  • 整体流程:
  • 一、Vmware搭建winserver2012
    • 1、选择镜像新建虚拟机
    • 2、设置虚拟机名称配置等信息
    • 3、设置虚拟机网络及磁盘等信息
    • 4、设置磁盘信息
    • 5、开始安装
    • 6、安装vmtools
    • 7、设置密码
    • 8、开启远程桌面
  • 二、攻击机进行攻击
    • 1、环境介绍
    • 2、攻击机暴力破解靶机密码
    • 3、使用得到的账号密码远程登录靶机
    • 4、创建隐藏账户powershell$并加至最高权限
      • 1.创建隐藏账户
      • 2.用户隐藏成功
      • 3.加入管理组
      • 4.添加远程桌面权限
    • 5、上传wakuangdb
    • 6、安装java环境
    • 7、写入启动恶意文件的bat
    • 8、写入计划任务
      • 1.每五分钟执行javs一次
      • 2.每三分钟执行javs启动程序一次
    • 9、写入启动项
  • 三、应急响应处理异常
    • 1、事件背景
    • 2、简单分析
    • 3、排查服务器是否感染挖矿病毒
    • 4、结束进程
    • 5、排查计划任务
    • 6、查看进程
    • 7、排查启动项
    • 8、排查计划任务
    • 9、查看服务
    • 10、发现隐藏账户
    • 11、排查网络连接
  • 四、应急响应溯源
    • 1、查看计划任务
    • 2、提取安全日志
      • 1.evtx提取安全日志
      • 2.事件查看器提取安全日志
    • 3、分析安全日志
    • 4、事件复原
  • 五、相关资源

整体流程:

Vmware搭建winserver2012
Winserver2012受到攻击WaKuang程序攻击
应急响应处置并进行事件复现

一、Vmware搭建winserver2012

可以选择自行搭建,也可以下载我搭建好的,下载链接文末给出

1、选择镜像新建虚拟机

打开vmware,选择新建虚拟机,一直下一步,选择ISO,激活密钥直接跳过,点击下一步。

在这里插入图片描述

2、设置虚拟机名称配置等信息

设置虚拟机名称,设置虚拟机安装路径,固件类型默认,然后设置处理器数量,内核数量等,接着设置内存,这些可自行根据实际情况进行设置

在这里插入图片描述

3、设置虚拟机网络及磁盘等信息

设置网络连接类型,我这里选择的网络类型是NAT,设置i/o控制器类型,我这里直接默认,选择磁盘类型,默认,选择创建新的虚拟磁盘

在这里插入图片描述

4、设置磁盘信息

设置磁盘存储大小,设置磁盘名称,确认配置

在这里插入图片描述

5、开始安装

点击完成就开始安装,过一会儿会自动重启

在这里插入图片描述

再过一会儿,自动安装完毕

在这里插入图片描述

6、安装vmtools

进入我的电脑,选择D盘,双击打开

在这里插入图片描述

双击setup进行安装

在这里插入图片描述

安装中,安装完成自动进入操作系统

在这里插入图片描述

vmtools安装失败可参考:
[ 问题解决篇 ] 解决windows虚拟机安装vmtools报错-winserver2012安装vmtools及安装KB2919355补丁 (附离线工具)

7、设置密码

点击windows图片,选择控制面板,选择用户账户

在这里插入图片描述

点击更改账户类型,选择更改Administrator用户,创建密码,输入密码,输入确认密码,输入密码提示信息,我这里创建靶机,我把密码提示信息设置成密码
点击右下角创建密码即可

在这里插入图片描述

8、开启远程桌面

我是做靶机使用,这里我需要远程桌面
windws server 2012默认不开启远程桌面功能

在这里插入图片描述

二、攻击机进行攻击

1、环境介绍

攻击机建议创建一个虚拟机,当然选择本机作为攻击机也是可以的
我这里采用win10虚拟机和kali虚拟机作为攻击机
Win10:192.168.233.176
Kali:192.168.233.130
Winserver2012:192.168.233.182

2、攻击机暴力破解靶机密码

使用超级弱口令检查工具进行爆破
填入目标:192.168.233.182
选择账户字典:常用用户名
选择密码字典:密码top100
对RDP和SMB进行爆破
得到账号密码

administrator/admin@123

在这里插入图片描述

3、使用得到的账号密码远程登录靶机

直接远程桌面

在这里插入图片描述

使用爆破的到账号密码进行登录

在这里插入图片描述

登陆成功

在这里插入图片描述

4、创建隐藏账户powershell$并加至最高权限

1.创建隐藏账户

以管理员身份进入终端,执行如下命令创建一个隐藏账户

net user powershell$ admin@123/add 

创建一个账号名为powershell,密码为admin@123的隐藏账户

net localgroup administrators powershell$ /add 

将powershell$用户添加进管理员组中(如果忘了这个命令,也可以傻瓜式添加)

在这里插入图片描述

创建完成之后,输入net user 查看账户,发现我们创建的隐藏用户隐藏成功

net user 

在这里插入图片描述

虽然用net user 看不到,但是还有其他方式可以看到
通过控制面板–>用户账户–>管理账户查看

在这里插入图片描述

通过管理工具–>计算机管理–>本地用户和组–>用户也可以看到

在这里插入图片描述

为了更好的隐藏新建的账户,还需要进行修改注册表文件操作。
完全隐藏账户:链接

2.用户隐藏成功

管理账户下看不到隐藏用户

在这里插入图片描述

计算机管理用户下看不到隐藏用户

在这里插入图片描述

3.加入管理组

net localgroup administrators powershell$ /add 

将powershell$用户添加进管理员组中,可以直接在终端中使用以上命令添加,也可以如下计算机管理中添加。
进入计算机管理–>找到用户和组,进入组,找到administrator组

在这里插入图片描述

双击进入administrator组,添加我们之前创建的用户
选择添加,进入高级,立即查找,找到我们需要添加用户,点击确认

在这里插入图片描述

再次点击确认,然后应用就ok了

在这里插入图片描述

4.添加远程桌面权限

需将新创建的隐藏账户powershell$添加在允许远程桌面用户的位置,默认只允许 Administrator,不然隐藏账户powershell$无法登录,远程登录隐藏账户powershell$时,账户名是powershell$密码是admin@123
[ 应急响应基础篇 ] 解决远程登录权限不足的问题(后门账号添加远程桌面权限)

注意:此处账户并不是完全隐藏了,想要完全隐藏参考下面文章:
[ windows权限维持 ] 利用永恒之蓝(MS17-010)漏洞取靶机权限并创建后门账户

5、上传wakuangdb

文件下载地址: wkbd-挖矿病毒.zip
上传wakuangbd并解压

在这里插入图片描述

随便放到哪个目录都行,我放到了C:\Users\Administrator\Documents\wkbd\目录下
解压后文件如下

在这里插入图片描述

6、安装java环境

发现靶机没有安装java环境,在靶机上面安装java环境
Java环境下载链接:jdk-8u162-windows-x64.exe安装包,以及配套安装教程
[ 环境搭建篇 ] 安装 java 环境并配置环境变量(附 JDK1.8 安装包)

在这里插入图片描述

直接双击进行安装

在这里插入图片描述

Java环境安装完毕之后,图标变成java图标,然后删掉java安装包

7、写入启动恶意文件的bat

常用bat文件链接:

@echo of f
start C: \Users \Admini strator \Documents \wkbd\javs. exe

在这里插入图片描述

点击他就会自动执行javs.exe恶意文件

nssm.exe 是一个用于将普通可执行文件(如 .exe、.bat、.jar 等)封装为 Windows 系统服务的工具。它允许用户通过简单的命令行操作或图形界面,将应用程序注册为系统服务,从而实现开机自启动、后台运行和故障恢复等功能。我这里没有调用nssm.exe吧javs.exe变成服务,在后续的应急过程中会一步步加大难度。感兴趣的可以提前自己先去了解!

在这里插入图片描述

8、写入计划任务

1.每五分钟执行javs一次

直接双击每5执行javs一次就可以新建一个计划任务,每五分钟执行一次javs.exe

schtasks /create /tn updater /tr "C:\Users\Administrator\Documents\wkbd\javs.exe" /sc minute /mo 5

在这里插入图片描述

我们也可以在终端中直接执行bat里面的命令创建计划任务

在这里插入图片描述

任务计划程序创建成功

在这里插入图片描述

为了避免不执行,我们进行如下设置

在这里插入图片描述

2.每三分钟执行javs启动程序一次

schtasks /create /tn updater2 /tr "C: \Users' \Admi ni strator\Documents \wkbd\执行javs. bat" /sc minute /mo 3

在这里插入图片描述

直接双击每3执行javs一次就可以新建一个计划任务,每3分钟执行一次执行javs.bat,也就是每三分钟执行一次javs.exe

在这里插入图片描述

9、写入启动项

Winserver2012启动项位置:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

打开启动项,把这些文件写入,这些文件都是我们之前创建好的
这样,每次重启服务器,这些文件都会被执行

在这里插入图片描述

三、应急响应处理异常

1、事件背景

客户反馈:服务器风扇噪声很大,温度很高,疑似被入侵。
受害服务器: Windows2012 系统、IP: 192.168.233.182、无WEB服务。

2、简单分析

根据客户反馈:风扇噪声很大,一般只有消耗CPU很多的情况下,服务器高温,风扇才会一直转,说明服务器可能感染wakuang病毒了。

3、排查服务器是否感染挖矿病毒

登录进服务器之后,看到桌面下面有一个程序在运行

在这里插入图片描述

点开java图标之后,发现该程序一直在访问域名:mine.c3pool.com:13333

在这里插入图片描述

查看一下这个域名是啥,这里采用微步进行查询
微步查看域名:mine.c3pool.com,确认是矿池域名,这个程序是wakuang病毒

https://s.threatbook.com/report/url/0c59832767b70c545cce4caa9c3fd22e

在这里插入图片描述

查看进程之后查看服务器的CPU和内存使用率,发现名为javs.exe的程序内存使用率极大

tasklist

在这里插入图片描述
在这里插入图片描述

发现占用率很高很高

在这里插入图片描述

查看属性

在这里插入图片描述

发现文件位置:

C:\Users\Administrator\Documents\wkbd\javs.exe

在这里插入图片描述

进入C:\Users\Administrator\Documents\wkbd\目录发现确实是wakuang程序
看到如下文件

在这里插入图片描述

打开config.json文件

在这里插入图片描述

将javs.exe程序放在微步云沙箱跑一下,确实是恶意文件

https://s.threatbook.com

在这里插入图片描述
在这里插入图片描述

4、结束进程

我们上面确认它是wakuang病毒了
我们直接结束进程

在这里插入图片描述

结束了恶意进程之后,cpu占用率瞬间下来了

在这里插入图片描述

5、排查计划任务

终止恶意进程 javs.exe程序之后,没过几分钟, javs.exe程序又再次出现了,并且消耗CPU 100%,怀疑可能存在计划任务

在这里插入图片描述

继续终止进程,然后查看计划任务
看到了两个不应该存在的计划任务updater和updater1,

在这里插入图片描述

发现创建者为Administrator,创建时间为2023/3/13 11:45:01和2023/3/13 11:45:03

在这里插入图片描述

我们查看一下计划任务内容
发现updater是启动javs.exe,这个是恶意计划任务

在这里插入图片描述

发现updater是启动执行javs.bat,这个也是恶意计划任务

在这里插入图片描述

6、查看进程

使用processExplorer进程分析工具分析进程
processExplorer下载地址:
processExplorer16.32中文版下载地址:

在这里插入图片描述

分析如下,发现javs.exe的CPU占用率很高,大致确认是恶意程序
这其实就是我们之前删掉的进程,后面计划任务再次起来的,计划任务我们之前没有删除

在这里插入图片描述

右键结束进程

在这里插入图片描述

7、排查启动项

Windows2012server启动项地址

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

发现三个恶意启动文件
2023/3/10 18:34创建每5执行javs一次.Bat
2023/3/13 10:23创建两个bat文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

8、排查计划任务

使用Autoruns工具查看服务器所有的进程,其中背景颜色为粉红色的程序,经排查均不是恶意程序,服务器不存在恶意程序
Autoruns工具下载
Autoruns汉化版下载链接

在这里插入图片描述

发现两个恶意计划任务

在这里插入图片描述

9、查看服务

使用Autoruns工具查看服务器服务,发现恶意服务javs

在这里插入图片描述

10、发现隐藏账户

通过控制面板–>用户账户–>管理账户查看当前系统的所有账户未发现异常,只有administrator和guest

在这里插入图片描述

通过查看注册表发现存在三个用户,administrator和guest和powershell$,发现异常

在这里插入图片描述

由此可知,powershell$为后门账户,删除powershell$用户相关注册表

在这里插入图片描述

11、排查网络连接

使用命令 netstat -ano 查看网络连接

netstat -ano

未发现异常

在这里插入图片描述

四、应急响应溯源

1、查看计划任务

2023/3/13/11:45创建两个计划任务

在这里插入图片描述

2、提取安全日志

[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志

1.evtx提取安全日志

首先使用evtx提取系统的日志,将evtx工具传到windows server 2012服务器上,因为该服务为64位,所以进入到 evtx_0x64 目录

在这里插入图片描述

之后以管理员身份运行 evtx.exe 文件

在这里插入图片描述

提取出来的日志如下

在这里插入图片描述

2.事件查看器提取安全日志

打开事件查看器

在这里插入图片描述

点开 windows日志,点击右边的所有事件另存为

在这里插入图片描述

日志就保存出来了

在这里插入图片描述

3、分析安全日志

logon工具下载

在这里插入图片描述

将提取出来的日志,放到logon下的data里面(如果存在之前的日志需要全部删除)

在这里插入图片描述

然后运行bin里面的Run.bat程序即可。

在这里插入图片描述

很快就跑完了

在这里插入图片描述

如下所示,是运行结束后统计的各种CSV表格

在这里插入图片描述

我这里靶场没有安装office,我拷出来查看,当然也可以采用记事本查看

在这里插入图片描述

目录下的4625.csv文件

在这里插入图片描述

此文件记录的是所有登录失败的信息,发现2023/3/10 14:33:49——2023/3/14 16:10:04有多次黑客爆破Administrator账户,但是均没有记录到攻击IP

目录下的4624.csv文件

在这里插入图片描述

此文件记录的是所有登录成功的信息,但是在2023/3/10 14:56:56——2023/3/14 16:10:04期间有审核成功的记录,IP地址同样没有记录到,可能是黑客使用爆破工具成果爆破出Administrator账户密码
紧接着 2023/3/10 14:57:29,IP:192.168.233.1成功登录该服务器

在这里插入图片描述

继续排查在 2023/3/14 9:53:08 黑客使用administrator账户创建了隐藏账户 powershell$并>添加到超级管理员组,具有超级管理员权限

在这里插入图片描述

之后查看系统日志,发现在 2023/3/10 18:31:39 服务器去解析 mine.c3pool.com 域名,而此域名是公共矿池,说明此时已经植入挖矿程序并且运行

在这里插入图片描述

mine.c3pool.com是公共矿池

在这里插入图片描述

4、事件复原

黑客IP:192.168.226.1
2023/3/10 14:56:56
黑客爆出用户密码并使用192.168.226.1远程登录服务器
2023/3/10 18:31:39
植入挖矿程序并且运行
2023/3/13 11:45:01
创建计划任务
2023/3/14 9:53:08
黑客使用administrator账户创建了隐藏账户 powershell$并添加到超级管理员组

五、相关资源

1、 [ 应急响应篇 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
2、 [ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
3、 [ 应急响应基础篇 ] windows日志分析详解–windows日志分析介绍–Windows事件类型介绍–提取windows日志–windows日志分析工具–windows日志分析实例
4、 [ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程)
5、 [ 红队知识库 ] 一些常用bat文件集合
6、 [ 应急响应基础篇 ] 解决远程登录权限不足的问题(后门账号添加远程桌面权限)
7、 [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
8、 [ 应急响应基础篇 ] 使用 Autoruns 启动项分析工具分析启动项(附Autoruns安装教程)
9、 [ 问题解决篇 ] 解决windows虚拟机安装vmtools报错-winserver2012安装vmtools及安装KB2919355补丁 (附离线工具)
10、 [ 问题解决篇 ] 解决远程桌面安全登录框的问题
11、 [ windows权限维持 ] 利用永恒之蓝(MS17-010)漏洞取靶机权限并创建后门账户
12、 [ 环境搭建篇 ] 安装 java 环境并配置环境变量(附 JDK1.8 安装包)


http://www.kler.cn/a/378869.html

相关文章:

  • 优选算法精品——双指针
  • el-upload,上传文件,后端提示信息,前端需要再次重新上传(不用重新选择文件)
  • 【解决办法】无法使用右键“通过VSCode打开文件夹”
  • 2024江苏省网络建设与运维省赛Linux(十) mariadb 服务
  • C++ 模板专题 - 静态分支(if)
  • openEuler 系统中 Samba 文件共享服务器管理(windows、linux文件共享操作方法)
  • ssm基于vue搭建的新闻网站+vue
  • Python+Selenium+Pytest+POM自动化测试框架封装
  • 机器学习的模型评估与选择
  • Msys mingw32编译报错 CMake Error: Could not create named generator MSYS Makefiles
  • DIP(Deep Image Prior,深度图像先验)和DMs(Diffusion Models,扩散模型)
  • CytoSPACE·单细胞与空间转录组的高精度对齐
  • API网关 - JWT认证 ; 原理概述与具体实践样例
  • 【06】A-Maven项目SVN设置忽略文件
  • 编写高性能爬虫抓取股票行情数据
  • Vue学习之路15----Props
  • 华为鸿蒙应用开发
  • 百度如何打造AI原生研发新范式?
  • 双向链表及如何使用GLib的GList实现双向链表
  • b站小土堆PyTorch视频学习笔记(CIFAR10数据集分类实例)
  • javascript 字符串转json格式数组
  • nginx系列--(三)--http
  • L1-2 什么是机器学习
  • 一些python torch函数
  • ROS(Robot Operating System)中,编写一个记录机器人速度并将其转换成轨迹
  • 【jvm】Full GC