一、事件背景

某天客戶反饋：服務(wù)器疑似被入侵，風(fēng)扇噪聲很大。（真實(shí)案例自己搭建環(huán)境復(fù)現(xiàn)一下，靶場(chǎng)環(huán)境放在了 知識(shí)星球 和 我的資源 中）

受害服務(wù)器： Windows2008 系統(tǒng)、IP： 192.168.226.137、無(wú)WEB服務(wù)

二、應(yīng)急響應(yīng)過(guò)程

根據(jù)客戶反饋：“風(fēng)扇噪聲很大”，一般只有消耗CPU很多的情況下，服務(wù)器高溫，風(fēng)扇才會(huì)一直轉(zhuǎn)，說(shuō)明服務(wù)器可能感染wakuang病毒了

2.1 排查服務(wù)器是否感染W(wǎng)aKuang病毒

登錄進(jìn)服務(wù)器之后，看到桌面下面有一個(gè)java程序在運(yùn)行

點(diǎn)開(kāi)java圖標(biāo)之后，發(fā)現(xiàn)該程序一直在訪問(wèn)域名：mine.c3pool.com:13333

微步查看域名：mine.c3pool.com，確認(rèn)是礦池域名，此java程序是wakuang病毒

之后查看服務(wù)器的CPU和內(nèi)存使用率，發(fā)現(xiàn)名為javs.exe的程序內(nèi)存使用率極大

之后點(diǎn)擊 javs.exe程序的屬性

在屬性欄中找到程序的位置：C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe

進(jìn)入C:\Users\Administrator\Downloads\wkbd\wkbd目錄發(fā)現(xiàn)確實(shí)是wakuang程序

查看config.json文件，里面是礦池域名和WaKuang錢包

將javs.exe程序放在微步云沙箱跑一下，確實(shí)是惡意文件

既然發(fā)現(xiàn)是wakuang程序，那么把 javs.exe程序結(jié)束進(jìn)程，終止WaKuang

終止 javs.exe程序之后，過(guò)了幾分鐘， javs.exe程序又再次出現(xiàn)了，并且消耗CPU 99%，懷疑可能存在計(jì)劃任務(wù)

查看任務(wù)計(jì)劃程序

在任務(wù)計(jì)劃程序中，發(fā)現(xiàn)一個(gè)名字為 system 的計(jì)劃任務(wù)，計(jì)劃任務(wù)啟動(dòng)的文件是：C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe，正是我們之前發(fā)現(xiàn)的WaKuang程序

查看這個(gè)WaKuang病毒的創(chuàng)建者是Administrator ，創(chuàng)建時(shí)間是2022-03-23 9:46:17

小結(jié)：
1、WaKuang病毒位置：C:\Users\Administrator\Downloads\wkbd\wkbd\ 目錄
2、存在挖礦程序的計(jì)劃任務(wù)，任務(wù)名字system

刪除挖礦程序的計(jì)劃任務(wù)，刪除C:\Users\Administrator\Downloads\wkbd\wkbd\ 目錄

2.2 排查服務(wù)器后門

2.2.1 查看可疑進(jìn)程

使用Autoruns工具查看服務(wù)器所有的進(jìn)程，其中背景顏色為粉紅色的程序，經(jīng)排查均不是惡意程序，服務(wù)器不存在惡意程序

2.2.2 查看啟動(dòng)項(xiàng)

啟動(dòng)項(xiàng)正常

2.2.3 查看計(jì)劃任務(wù)

計(jì)劃任務(wù)正常，下圖的是 windows server 2008的激活工具，之前的挖礦程序計(jì)劃任務(wù)已刪除

2.2.4 查看服務(wù)

未發(fā)現(xiàn)可疑服務(wù)

2.2.5 查看鏡像劫持

發(fā)現(xiàn)了 shift粘貼鍵后門，后門路徑是C:\windows\system32\cmd.exe，可以在不登陸服務(wù)器的情況下，以administrator權(quán)限執(zhí)行cmd

2.2.6 查看隱藏賬戶

通過(guò) 控制面板-》用戶賬戶-》管理賬戶查看當(dāng)前系統(tǒng)的所有賬戶未發(fā)現(xiàn)異常，只有administrator和guest

通過(guò)注冊(cè)表編輯器，查看發(fā)現(xiàn)隱藏賬戶：wxiaoge$

2.3 排查網(wǎng)絡(luò)連接

未發(fā)現(xiàn)異常
使用命令 netstat -ano 查看網(wǎng)絡(luò)連接

小結(jié)：
1、存在Windows系統(tǒng)隱藏賬戶
2、存在shift粘貼鍵后門

三、應(yīng)急響應(yīng)溯源

3.1 查看WaKuang病毒計(jì)劃任務(wù)創(chuàng)建時(shí)間

查看這個(gè)WaKuang病毒的創(chuàng)建者是Administrator ，創(chuàng)建時(shí)間是2022-03-23 9:46:17

3.2 排查安全日志

3.2 .1 提取安全日志

方法一：
首先使用evtx提取系統(tǒng)的日志，將evtx工具傳到windows server 2008服務(wù)器上，因?yàn)樵摲?wù)為64位，所以進(jìn)入到 evtx_0x64 目錄，之后以管理員身份運(yùn)行 evtx.exe 文件


運(yùn)行 evtx.exe 文件之后，日志成功提取，在evtx目錄下會(huì)生成一些日志文件，如下圖所示

方法二：
查看“事件查看器”

點(diǎn)開(kāi) windows日志，之后在右邊有個(gè)“將所有事件另存為”

之后就可以保存所有的安全事件

3.2 .2 分析安全日志

將提取出來(lái)的日志，放到logon下的data里面(之前的日志需要全部刪除)


然后運(yùn)行bin目錄里面的Run.bat程序即可。

如下所示，是運(yùn)行結(jié)束后統(tǒng)計(jì)的各種表格

查看data目錄下的4625.csv文件，此文件記錄的是所有登錄失敗的信息，發(fā)現(xiàn)2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27，有黑客爆破Administrator賬戶，但是均沒(méi)有記錄到攻擊IP


但是在2022/3/18 11:20:08——2022/3/18 11:20:18、2022/3/21 16:26:19——2022/3/21 16:26:27期間有審核成功的記錄，但是沒(méi)有IP地址，可能是黑客使用爆破工具成果爆破出Administrator賬戶密碼

緊接著 2022/3/21 16:27:12，IP：192.168.226.1成功登錄該服務(wù)器

繼續(xù)排查在 2022/3/21 16:28:12 黑客使用administrator賬戶創(chuàng)建了隱藏賬戶 wxiaoge$

之后將 wixoage$ 隱藏賬戶添加到超級(jí)管理員組，具有超級(jí)管理員權(quán)限


之后查看系統(tǒng)日志，發(fā)現(xiàn)在 2022/3/23 9:36:02 服務(wù)器去解析 xmr.usa-138.com 域名，而此域名是公共礦池，說(shuō)明此時(shí)已經(jīng)植入挖礦程序并且運(yùn)行

注意：
logon工具使用的前提：電腦需要安裝 LogParser 工具，不然表格會(huì)沒(méi)有任何數(shù)據(jù)

LogParser 工具安裝參考地址：
https://zhuanlan.zhihu.com/p/57092216
https://zhuanlan.zhihu.com/p/57092216?ivk_sa=1024320u

3.2 溯源總結(jié)

**根據(jù)日志推測(cè)：**黑客（IP：192.168.226.1）在 2022/3/21 16:26:19——2022/3/21 16:26:27對(duì)windows server 2008服務(wù)器進(jìn)行暴力破解，并且成功爆破administrator賬戶，之后在2022/3/21 16:27:12，IP：192.168.226.1成功登錄該服務(wù)器，在 2022/3/21 16:28:12 黑客使用administrator賬戶創(chuàng)建了隱藏賬戶 wxiaoge$，在2022/3/23 9:36:02 植入挖礦程序并且運(yùn)行，在2022-03-23 9:46:17創(chuàng)建挖礦程序的計(jì)劃任務(wù)

至此，應(yīng)急響應(yīng)模擬實(shí)戰(zhàn)結(jié)束，成功找到后門并溯源

更多資源：
1、web安全工具、滲透測(cè)試工具
2、存在漏洞的網(wǎng)站源碼與代碼審計(jì)+漏洞復(fù)現(xiàn)教程、
3、滲透測(cè)試學(xué)習(xí)視頻、應(yīng)急響應(yīng)學(xué)習(xí)視頻、代碼審計(jì)學(xué)習(xí)視頻、都是2019-2021年期間的較新視頻
4、應(yīng)急響應(yīng)真實(shí)案例復(fù)現(xiàn)靶場(chǎng)與應(yīng)急響應(yīng)教程
收集整理在知識(shí)星球，可加入知識(shí)星球進(jìn)行查看。也可搜索關(guān)注微信公眾號(hào)：W小哥
文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-437975.html

到了這里，關(guān)于一次真實(shí)的應(yīng)急響應(yīng)案例(Windows2008)——暴力破解、留隱藏賬戶后門與shift粘貼鍵后門、植入WaKuang程序——事件復(fù)現(xiàn)（含靶場(chǎng)環(huán)境）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！