写点什么

【网络安全】记一次挖矿病毒的应急响应

作者:H
  • 2022 年 2 月 14 日
  • 本文字数:1187 字

    阅读完需:约 4 分钟

【网络安全】记一次挖矿病毒的应急响应

开始

某单位接到上级单位通报存在挖矿病毒,通报的地址 0.58 是一台路由器的地址,拓扑情况是该单位出口是一台路由器,路由器的镜像接口接到上级单位的感知设备上,出口地址肯定是做了 NAT 转换,所上级单位下发的通告中受害 IP 只是一台路由器。安全设备上未能发现有效信息,只能人工去分析。通报中存在四个危险矿池域名:

channel.vaincues.com

doc.lienous.cf

fillmore.trovuier.com

castaic.vaincues.com



第一步

思路真的很重要,既然通报是挖矿病毒,我们首先是要清楚挖矿病毒的行为特征。

挖矿病毒下载到本地后,利用被入侵计算机的算力,运行特定算法,挖掘加密数字货币,与矿池服务器通信后得到相应的比特币。所以会导致 CPU/GPU 使用率较高,系统卡顿,部分服务无法正常运行,这也是挖矿木马最明显的特点,在内网的挖矿木马会一直请求与外网矿池服务器请求连接。(本次应急响应的网络环境即为只连接上下级单位的 ZW 内网,无外网环境)

【学习技术文档】

考虑以上,因为上级单位的感知设备是在出口路由器之外的,既然检测到了挖矿病毒,那异常的流量行为肯定过内网核心交换机,来到机房,wireshark 接内网核心交换机镜像流量口抓包就没错,通报显示有域名地址,wireshark 抓的包过滤 DNS,过滤命令

dns.qry.name == "castaic.vaincues.com"

DNS 是实现域名和 IP 地址相互映射的一个分布式数据库,域名和 IP 地址相互转换的过程叫做域名解析,用户通过容易记忆的域名访问网络资源。DNS 域名解析服务器,承担域名到 IP 地址解析或者 IP 地址到域名的解析工作。DNS 协议运行在 UDP 协议之上,使用 53 端口号






2.6 是 DNS 服务器地址,因为在内网,DNS 服务器上没有与威胁域名对应的 IP 地址,所以 DNS 服务器的地址也会有解析记录,14.87 是上级领导的机器,不在客户这里,但是也告知客户了,基本可以确定客户现场的两台机器,171.161,171.164,找客户相关人员看这是哪间办公室的机器。

找到机器后,发现是两台服务器,CPU,带宽占比都不高,因为挖矿活动还没开始,木马只是一直向公网危险域名请求链接,在纯内网哈哈哈所以就请求不到。服务器上安装了某绒,杀了一遍没有反应,上某 0,直接查杀出来三个高危,所以在应急响应的时候,最好要多准备几个 AV 查杀,一般常见的蠕虫,勒索,挖矿木马不会像 APT 那样做隐匿或者免杀,多换几个 AV 基本上一杀一个准。

重新调整下 wireshark 过滤器,tcp.port == 445 || udp.port == 445,查看一下高危 445 端口有无异常,意外收获,发现 171.222 这台机器在一直请求公网,觉得有问题,去机器上看下。



发现是一台控制大屏显示的电脑,伊拉克战损成色,躲在角落里面,开机都贼卡,cmd 下 netstat -ano 查看下当前连接,确实是在请求公网地址。




任务管理器,看一下进程,mssecsvr.exe 和 mssecsvc.exe 是 wanna cry 的勒索病毒



这机器真的放这里好久了,病毒文件显示 18 年的(照片上有只蚊子不要介意嘻嘻嘻)



上杀软发现好多高危。



最后

学习到了针对应急响应的一些思路,还是要多经历,多学习

用户头像

H

关注

还未添加个人签名 2021.08.04 加入

还未添加个人简介

评论

发布
暂无评论
【网络安全】记一次挖矿病毒的应急响应