|
一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序。 <span]一、事件背景 某天客户反馈:服务器疑似被入侵,风扇噪声很大。 <span]受害服务器: Windows2008 系统、IP: 192.168.226.137、无WEB服务 二、应急响应过程 <span]根据客户反馈:“风扇噪声很大”,一般只有消耗CPU很多的情况下,服务器高温,风扇才会一直转,说明服务器可能感染wakuang病毒了 2.1]登录进服务器之后,看到桌面下面有一个java程序在运行 <span]点开java图标之后,发现该程序一直在访问域名:mine.c3pool.com:13333 <span]微步查看域名:mine.c3pool.com,确认是矿池域名,此java程序是wakuang病毒 <span]之后查看服务器的CPU和内存使用率,发现名为javs.exe的程序内存使用率极大 <span]之后点击 javs.exe程序的属性 <span]在属性栏中找到程序的位置:C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe <span]进入C:\Users\Administrator\Downloads\wkbd\wkbd目录发现确实是wakuang程序 <span]将javs.exe程序放在微步云沙箱跑一下,确实是恶意文件 <span]既然发现是wakuang程序,那么把 javs.exe程序结束进程,终止WaKuang <span]终止 javs.exe程序之后,过了几分钟, javs.exe程序又再次出现了,并且消耗CPU 99%,怀疑可能存在计划任务 <span]查看任务计划程序 <span]在任务计划程序中,发现一个名字为 system 的计划任务,计划任务启动的文件是:C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe,正是我们之前发现的WaKuang程序 <span]查看这个WaKuang病毒的创建者是Administrator ,创建时间是2022-03-23 9:46:17 <span]小结: 1、WaKuang病毒位置:C:\Users\Administrator\Downloads\wkbd\wkbd\]2、存在挖矿程序的计划任务,任务名字system 删除挖矿程序的计划任务,删除C:\Users\Administrator\Downloads\wkbd\wkbd\]2.2 排查服务器后门 2.2.1]使用Autoruns工具查看服务器所有的进程,其中背景颜色为粉红色的程序,经排查均不是恶意程序,服务器不存在恶意程序
】 <span]2.2.2 查看启动项 启动项正常 <span]
2.2.3]计划任务正常,下图的是 windows server 2008的激活工具,之前的挖矿程序计划任务已删除 <span]2.2.4 查看服务 未发现可疑服务 <span]
2.2.5]发现了 shift粘贴键后门,后门路径是C:\windows\system32\cmd.exe,可以在不登陆服务器的情况下,以administrator权限执行cmd <span]2.2.6 查看隐藏账户 通过]
通过注册表编辑器,查看发现隐藏账户:wxiaoge$ <span]
2.3]未发现异常
使用命令 netstat -ano 查看网络连接 <span]小结:
1、存在Windows系统隐藏账户
2、存在shift粘贴键后门 三、应急响应溯源 <span]3.1 查看WaKuang病毒计划任务创建时间 查看这个WaKuang病毒的创建者是Administrator ,创建时间是2022-03-23 9:46:17 3.2 排查安全日志 3.2 .1 提取安全日志 方法一:
首先使用evtx提取系统的日志,将evtx工具传到windows server 2008服务器上,因为该服务为64位,所以进入到 evtx_0x64 目录,之后以管理员身份运行 evtx.exe 文件 运行 evtx.exe 文件之后,日志成功提取,在evtx目录下会生成一些日志文件,如下图所示 方法二:
查看“事件查看器” 点开 windows日志,之后在右边有个“将所有事件另存为” 之后就可以保存所有的安全事件 3.2 .2 分析安全日志 将提取出来的日志,放到logon下的data里面(之前的日志需要全部删除) 然后运行bin目录里面的Run.bat程序即可。 如下所示,是运行结束后统计的各种表格 查看data目录下的4625.csv文件,此文件记录的是所有登录失败的信息,发现2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27,有黑客爆破Administrator账户,但是均没有记录到攻击IP 但是在2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27期间有审核成功的记录,但是没有IP地址,可能是黑客使用爆破工具成果爆破出Administrator账户密码 紧接着 2022/3/21 16:27:12,IP:192.168.226.1成功登录该服务器 继续排查在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$ 之后将 wixoage$ 隐藏账户添加到超级管理员组,具有超级管理员权限 之后查看系统日志,发现在 2022/3/23 9:36:02 服务器去解析 xmr.usa-138.com 域名,而此域名是公共矿池,说明此时已经植入挖矿程序并且运行 注意:logon工具使用的前提:电脑需要安装 LogParser 工具,不然表格会没有任何数据 3.2 溯源总结 根据日志推测:黑客(IP:192.168.226.1)在 2022/3/21 16:26:19——2022/3/21 16:26:27对windows server 2008服务器进行暴力破解,并且成功爆破administrator账户,之后在2022/3/21 16:27:12,IP:192.168.226.1成功登录该服务器,在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$,在2022/3/23 9:36:02 植入挖矿程序并且运行,在2022-03-23 9:46:17创建挖矿程序的计划任务 至此,应急响应结束,成功找到后门并溯源。
| 
发表于 2024-9-21 09:37
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
