应急响应靶机——Windows挖矿事件

载入虚拟机，开启虚拟机：

（账户密码：administrator/zgsf@123）

发现登录进去就弹出终端界面，自动运行powshell命令，看来存在计划任务，自动下载了一些文件，之后就主动结束退出终端界面了

先点击看看桌面的“解题.exe”：

1.攻击者开始攻击的时间

2.攻击者的ip地址

3.攻击者攻击的端口

4.挖矿程序的md5

5.后门脚本的md5

6.矿池地址(仅域名)

7.攻击者的钱包地址

8.攻击者是如何攻击进入的

根据问的问题，推测开机自启动的应该是个挖矿程序，并且一开始显示的下载压缩包的文件路径中没有了，应该是下载后解压后自动删除了，查看任务管理器，发现有个程序占用CPU率贼高，而且杀死进程又会重新启动（跟平时上课的红蜘蛛一样）：

复制粘贴下来，放到奇安信沙箱跑一下：

很明显，就是个挖矿程序，md5值：6D68D914CE545056F383C47A444CEAF8

上传一些工具，查看“登录失败日志”：

2024-05-21 20:25:22 administrator DESKTOP-PESL5DR %%2313 0xc000006a NtLmSsp 0x0 - 192.168.115.131 4625

查看”事件查看器“的”Windows日志安全“选项，找到对应的事件ID4625，发现一堆Logon任务规则：

查看“登录成功日志”：

（记得点击“All rows”）

2024-05-21 20:25:22 Administrator WIN-E2Q5H2DPBGH 3 NtLmSsp DESKTOP-PESL5DR - 192.168.115.131 0 4624

得到以下信息：

攻击者开始攻击的时间：2024-05-21 20:25:22

攻击者的ip地址：192.168.115.131

攻击者是如何攻击进入的：暴力破解

一般暴力破解都是远程桌面登录，去防火墙中看看入站规则中有没有启动远程桌面服务：

得知远程桌面服务开启，且端口是3389

得知攻击者攻击的端口是3389

查看“火绒剑”的“启动项”：

是一段powshell脚本，c3pool.org看起来像是个矿池域名，让奇安信沙箱分析一下，文本内容让AI分析一下：

访问一下c3pool.org：

一眼就看到挖矿程序，输入一下所谓的钱包地址

已经可以确定就是钱包地址了

得到以下信息：

后门脚本md5值：8414900F4C896964497C2CF6552EC4B9

矿池地址(仅域名)：c3pool.org

钱包地址：

4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

总结一下：

1、2024-05-21 20:25:22

2、192.168.115.131

3、3389

4、6D68D914CE545056F383C47A444CEAF8

5、8414900F4C896964497C2CF6552EC4B9

6、c3pool.org

7、

4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

8、暴力破解

但当我填写挖矿程序得md5值时却突然退出，我对比了一遍别人的攻略，发现我的挖矿程序得md5值不对，我又检查了一遍：

certutil -hashfile xmrig.exe MD5

那看来是”解题.exe“的锅了”，修改之后继续做下去：

A79D49F425F95E70DDF0C68C18ABC564

成功攻克该靶机！