一、事件背景

某天客户反馈:服务器疑似被入侵,风扇噪声很大。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中

受害服务器: Windows2008 系统、IP: 192.168.226.137、无WEB服务

二、应急响应过程

根据客户反馈:“风扇噪声很大”,一般只有消耗CPU很多的情况下,服务器高温,风扇才会一直转,说明服务器可能感染wakuang病毒了

2.1 排查服务器是否感染WaKuang病毒

登录进服务器之后,看到桌面下面有一个java程序在运行

点开java图标之后,发现该程序一直在访问域名:mine.c3pool.com:13333

微步查看域名:mine.c3pool.com,确认是矿池域名,此java程序是wakuang病毒

之后查看服务器的CPU和内存使用率,发现名为javs.exe的程序内存使用率极大

之后点击 javs.exe程序的属性

在属性栏中找到程序的位置:C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe

进入C:\Users\Administrator\Downloads\wkbd\wkbd目录发现确实是wakuang程序

查看config.json文件,里面是矿池域名和WaKuang钱包

将javs.exe程序放在微步云沙箱跑一下,确实是恶意文件

既然发现是wakuang程序,那么把 javs.exe程序结束进程,终止WaKuang


终止 javs.exe程序之后,过了几分钟, javs.exe程序又再次出现了,并且消耗CPU 99%,怀疑可能存在计划任务

查看任务计划程序

在任务计划程序中,发现一个名字为 system 的计划任务,计划任务启动的文件是:C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe,正是我们之前发现的WaKuang程序

查看这个WaKuang病毒的创建者是Administrator ,创建时间是2022-03-23 9:46:17

小结:
1、WaKuang病毒位置:C:\Users\Administrator\Downloads\wkbd\wkbd\ 目录
2、存在挖矿程序的计划任务,任务名字system

删除挖矿程序的计划任务,删除C:\Users\Administrator\Downloads\wkbd\wkbd\ 目录

2.2 排查服务器后门

2.2.1 查看可疑进程

使用Autoruns工具查看服务器所有的进程,其中背景颜色为粉红色的程序,经排查均不是恶意程序,服务器不存在恶意程序

2.2.2 查看启动项

启动项正常

2.2.3 查看计划任务

计划任务正常,下图的是 windows server 2008的激活工具,之前的挖矿程序计划任务已删除

2.2.4 查看服务

未发现可疑服务

2.2.5 查看镜像劫持

发现了 shift粘贴键后门,后门路径是C:\windows\system32\cmd.exe,可以在不登陆服务器的情况下,以administrator权限执行cmd

2.2.6 查看隐藏账户

通过 控制面板-》用户账户-》管理账户查看当前系统的所有账户未发现异常,只有administrator和guest

通过注册表编辑器,查看发现隐藏账户:wxiaoge$

2.3 排查网络连接

未发现异常
使用命令 netstat -ano 查看网络连接

小结:
1、存在Windows系统隐藏账户
2、存在shift粘贴键后门

三、应急响应溯源

3.1 查看WaKuang病毒计划任务创建时间

查看这个WaKuang病毒的创建者是Administrator ,创建时间是2022-03-23 9:46:17

3.2 排查安全日志

3.2 .1 提取安全日志

方法一:
首先使用evtx提取系统的日志,将evtx工具传到windows server 2008服务器上,因为该服务为64位,所以进入到 evtx_0x64 目录,之后以管理员身份运行 evtx.exe 文件


运行 evtx.exe 文件之后,日志成功提取,在evtx目录下会生成一些日志文件,如下图所示

方法二:
查看“事件查看器”

点开 windows日志,之后在右边有个“将所有事件另存为”

之后就可以保存所有的安全事件

3.2 .2 分析安全日志

将提取出来的日志,放到logon下的data里面(之前的日志需要全部删除)


然后运行bin目录里面的Run.bat程序即可。

如下所示,是运行结束后统计的各种表格

查看data目录下的4625.csv文件,此文件记录的是所有登录失败的信息,发现2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27,有黑客爆破Administrator账户,但是均没有记录到攻击IP


但是在2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27期间有审核成功的记录,但是没有IP地址,可能是黑客使用爆破工具成果爆破出Administrator账户密码

紧接着 2022/3/21 16:27:12,IP:192.168.226.1成功登录该服务器

继续排查在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$

之后将 wixoage$ 隐藏账户添加到超级管理员组,具有超级管理员权限


之后查看系统日志,发现在 2022/3/23 9:36:02 服务器去解析 xmr.usa-138.com 域名,而此域名是公共矿池,说明此时已经植入挖矿程序并且运行

注意:
logon工具使用的前提:电脑需要安装 LogParser 工具,不然表格会没有任何数据

LogParser 工具安装参考地址:
https://zhuanlan.zhihu.com/p/57092216
https://zhuanlan.zhihu.com/p/57092216?ivk_sa=1024320u

3.2 溯源总结

**根据日志推测:**黑客(IP:192.168.226.1)在 2022/3/21 16:26:19——2022/3/21 16:26:27对windows server 2008服务器进行暴力破解,并且成功爆破administrator账户,之后在2022/3/21 16:27:12,IP:192.168.226.1成功登录该服务器,在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$,在2022/3/23 9:36:02 植入挖矿程序并且运行,在2022-03-23 9:46:17创建挖矿程序的计划任务

至此,应急响应模拟实战结束,成功找到后门并溯源

更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥

一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)相关推荐

  1. 一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门——事件复现(含靶场环境)

    一.事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替).(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务 ...

  2. 渗透测试模拟实战——暴力破解、留后门隐藏账户与shift粘贴键后门、植入WaKuang程序(靶机系统:Windows2008)

    本次实验主要是为了应急响应打基础,从攻击者的角度出发,知己知彼,百战不殆 一.环境搭建 靶机: Windwos Server 2008 系统 靶机IP地址: 192.168.226.137 攻击IP地 ...

  3. 一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)

    一.SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密.SSH 是目前较可靠,专为远程登录会话和其 ...

  4. 信安教程第二版-第17章网络安全应急响应技术原理与应用

    第17章 网络安全应急响应技术原理与应用 17.1 网络安全应急响应概述 353 17.1.1 网络安全应急响应概念 353 17.1.2 网络安全应急响应发展 353 17.1.3 网络安全应急响应 ...

  5. 内网安全-域横向CSMSF联动及应急响应初识

    案例1:MSF&CobaltStrike联动Shell CS->MSF 创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器 MSF-& ...

  6. Windows 应急响应辅助笔记

    目录导航 0x00 前言: 0x01 应急辅助工具: 工具列表: 在线沙箱: 0x02 排查前说明: 0x03 账户排查: 方法一: 方法二: 方法三: 方法四: 0x04 系统日志排查: 安全日志: ...

  7. 01应急响应相关概述与流程

    基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件.蠕虫事件.特洛伊木马事件.僵尸网络 ...

  8. 网络安全应急响应流程

    网络安全应急响应流程 国家网信办6月27日印发<国家网络安全事件应急预案>(下称<预案>),包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一,针对事件的监测预警.应 ...

  9. [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)

    [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三) 目录 一.应急响应是 安全 ...

最新文章

  1. Windows 7新睹为快!!
  2. 计算机考试金麦圈编号教程,计算机二级:数据处理.doc
  3. 一个简单的运算表达式解释器例子
  4. microsoft visual sourcesafe explorer 获取不了文件夹的解决方法
  5. 如何用计算机声卡,声卡是什么,详细教您怎么查看自己电脑的声卡
  6. 基本线程同步(三)在同步的类里安排独立属性
  7. P6134-[JSOI2015]最小表示【bitset,拓扑排序】
  8. nssl1156-今天你AK了吗?【康托展开,高精度,二分答案,树状数组】
  9. python卸载pip_PIP安装和卸载包,pip
  10. Win10 + VSCode踩坑 + vue项目开发:设置vscode终端为管理员权限
  11. linux ssh客户端乱码,Win10专业版下Open ssh客户端乱码咋办?
  12. Java新职篇:for循环
  13. Nodejs操作Access数据库
  14. 小程序下载到手机后的目录。
  15. 我用GAN实现了魔法照片!效果太逼真!
  16. 刺激战场测试fps软件,腾讯手游助手玩刺激战场怎样设置显示帧数?
  17. 计算机语音输入软件,语音输入法_语音输入法电脑版_语音输入法哪个好【最新】-太平洋电脑网...
  18. Zigbee系列 学习笔记五(信道选择)
  19. “小说极速版”用户隐私政策说明
  20. java模拟登录qq邮箱_使用Java实现qq邮箱发送邮件

热门文章

  1. python计算矩阵的散度_python 3计算KL散度(KL Divergence)
  2. 复制输入的字符串,将多个空格变成一个空格
  3. Michael Bronstein 最新几何深度学习综述:超越 WL 和原始消息传递的 GNN
  4. diSulfo-Cy3 DBCO(Methyl),二磺酸-CY3-二苯并环辛炔(甲基)
  5. linux目录跳到目录,linux目录跳转快捷方式——z武器
  6. 苹果开发者账号官方翻译篇-管理ID标识
  7. Stable-Diffusion-WebUI 搭建使用教程
  8. HTML中如何将表格最外层边框设置成实线,内单元格边框设置成虚线?
  9. CSVreader和POI操作用法比较,以及CSVReader的坑
  10. vue解决跳转时新页面没有置顶