【2022争霸赛*干货满满】应急响应案例分享

一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序。

<span]一、事件背景

某天客户反馈：服务器疑似被入侵，风扇噪声很大。

<span]受害服务器： Windows2008 系统、IP： 192.168.226.137、无WEB服务

二、应急响应过程

<span]根据客户反馈：“风扇噪声很大”，一般只有消耗CPU很多的情况下，服务器高温，风扇才会一直转，说明服务器可能感染wakuang病毒了

2.1]登录进服务器之后，看到桌面下面有一个java程序在运行

<span]点开java图标之后，发现该程序一直在访问域名：mine.c3pool.com:13333

<span]微步查看域名：mine.c3pool.com，确认是矿池域名，此java程序是wakuang病毒

<span]之后查看服务器的CPU和内存使用率，发现名为javs.exe的程序内存使用率极大

<span]之后点击 javs.exe程序的属性

<span]在属性栏中找到程序的位置：C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe

<span]进入C:\Users\Administrator\Downloads\wkbd\wkbd目录发现确实是wakuang程序

<span]将javs.exe程序放在微步云沙箱跑一下，确实是恶意文件

<span]既然发现是wakuang程序，那么把 javs.exe程序结束进程，终止WaKuang

<span]终止 javs.exe程序之后，过了几分钟， javs.exe程序又再次出现了，并且消耗CPU 99%，怀疑可能存在计划任务

<span]查看任务计划程序

<span]在任务计划程序中，发现一个名字为 system 的计划任务，计划任务启动的文件是：C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe，正是我们之前发现的WaKuang程序

<span]查看这个WaKuang病毒的创建者是Administrator ，创建时间是2022-03-23 9:46:17

<span]小结：

1、WaKuang病毒位置：C:\Users\Administrator\Downloads\wkbd\wkbd\]2、存在挖矿程序的计划任务，任务名字system

删除挖矿程序的计划任务，删除C:\Users\Administrator\Downloads\wkbd\wkbd\]2.2 排查服务器后门

2.2.1]使用Autoruns工具查看服务器所有的进程，其中背景颜色为粉红色的程序，经排查均不是恶意程序，服务器不存在恶意程序

】

<span]2.2.2 查看启动项

启动项正常

<span]

2.2.3]计划任务正常，下图的是 windows server 2008的激活工具，之前的挖矿程序计划任务已删除

<span]2.2.4 查看服务

未发现可疑服务

<span]

2.2.5]发现了 shift粘贴键后门，后门路径是C:\windows\system32\cmd.exe，可以在不登陆服务器的情况下，以administrator权限执行cmd

<span]2.2.6 查看隐藏账户

通过]

通过注册表编辑器，查看发现隐藏账户：wxiaoge$

<span]

2.3]未发现异常
使用命令 netstat -ano 查看网络连接

<span]小结：
1、存在Windows系统隐藏账户
2、存在shift粘贴键后门

三、应急响应溯源

<span]3.1 查看WaKuang病毒计划任务创建时间

查看这个WaKuang病毒的创建者是Administrator ，创建时间是2022-03-23 9:46:17

3.2 排查安全日志

3.2 .1 提取安全日志

方法一：
首先使用evtx提取系统的日志，将evtx工具传到windows server 2008服务器上，因为该服务为64位，所以进入到 evtx_0x64 目录，之后以管理员身份运行 evtx.exe 文件

运行 evtx.exe 文件之后，日志成功提取，在evtx目录下会生成一些日志文件，如下图所示

方法二：
查看“事件查看器”

点开 windows日志，之后在右边有个“将所有事件另存为”

之后就可以保存所有的安全事件

3.2 .2 分析安全日志

将提取出来的日志，放到logon下的data里面(之前的日志需要全部删除)

然后运行bin目录里面的Run.bat程序即可。

如下所示，是运行结束后统计的各种表格

查看data目录下的4625.csv文件，此文件记录的是所有登录失败的信息，发现2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27，有黑客爆破Administrator账户，但是均没有记录到攻击IP

但是在2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27期间有审核成功的记录，但是没有IP地址，可能是黑客使用爆破工具成果爆破出Administrator账户密码

紧接着 2022/3/21 16:27:12，IP：192.168.226.1成功登录该服务器

继续排查在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$

之后将 wixoage$ 隐藏账户添加到超级管理员组，具有超级管理员权限

之后查看系统日志，发现在 2022/3/23 9:36:02 服务器去解析 xmr.usa-138.com 域名，而此域名是公共矿池，说明此时已经植入挖矿程序并且运行

注意：logon工具使用的前提：电脑需要安装 LogParser 工具，不然表格会没有任何数据

3.2 溯源总结

根据日志推测：黑客（IP：192.168.226.1）在 2022/3/21 16:26:19——2022/3/21 16:26:27对windows server 2008服务器进行暴力破解，并且成功爆破administrator账户，之后在2022/3/21 16:27:12，IP：192.168.226.1成功登录该服务器，在 2022/3/21 16:28:12 黑客使用administrator账户创建了隐藏账户 wxiaoge$，在2022/3/23 9:36:02 植入挖矿程序并且运行，在2022-03-23 9:46:17创建挖矿程序的计划任务

至此，应急响应结束，成功找到后门并溯源。

感谢楼主分享，文章详尽的介绍了一次的挖矿溯源排查处置的案例，溯源思路具备很好的参考价值，期待楼主带来更多分享

好帖子，感谢楼主的分享！！

好帖子，感谢楼主的分享！！

资料内容清晰且详细，感谢分享

资料内容清晰且详细，感谢分享

资料内容清晰且详细，感谢分享

好帖子，感谢楼主的分享！

好帖子，感谢楼主的分享！！

好帖子，感谢楼主的分享！！