应急靶场(5)：WindowsServer2022挖矿事件

一、攻击者开始攻击的时间

未看到服务器部署web服务，优先判断攻击者通过RDP、SMB等方式入侵。使用命令eventvwr.msc打开事件查看器，在Windows日志->安全中，点击筛选当前日志筛选事件ID是4625的登录失败日志，可以看到最早于2024/5/21 20:25:22被192.168.115.131爆破rdp弱口令。

二、攻击者的IP地址

第一题时，已排查到攻击者的IP地址是：192.168.115.131。

三、攻击者攻击的端口

第一题时，已排查到攻击者攻击的是3389端口的RDP服务。

四、挖矿程序的md5

排查后门，使用命令msinfo32打开系统信息，在软件环境->服务中，看到可疑服务：c3pool_miner。对应的程序是：C:\Users\Administrator\c3pool\nssm.exe。

排查进程，发现nssm.exe和xmrig.exe两个可疑进程。其中xmrig是大名鼎鼎的门罗币挖矿程序。

使用wmic process where processid=6928 get name,processid,parentprocessid等命令不断排查挖矿程序的父进程，可以看到:

1、首先PID是548的Windows系统启动程序wininit.exe创建了PID是692的服务程序services.exe；

2、然后服务程序services.exe创建了PID是8076的服务管理软件nssm.exe；

3、最后服务管理软件nssm.exe创建了PID是6928的挖矿程序xmrig.exe。

使用命令certutil -hashfile xmrig.exe MD5计算出挖矿程序的md5值是A79D49F425F95E70DDF0C68C18ABC564。

五、后门脚本的md5

使用命令msinfo32进入系统信息，在软件环境->启动程序中，看到可疑启动程序：systems，会执行脚本：C:\Users\Administrator\AppData\systems.bat。

使用命令taskschd.msc进入任务计划程序，在任务计划程序库中，看到可疑计划任务systemTesst，会执行脚本：C:\Users\Administrator\AppData\systems.bat。

查看C:\Users\Administrator\AppData\systems.bat脚本，发现是攻击者留下的后门脚本，会去下载挖矿程序部署脚本并执行。

使用命令certutil -hashfile systems.bat MD5计算后门脚本的md5值，得到：8414900F4C896964497C2CF6552EC4B9。

六、矿池地址

网上查看xmrig挖矿程序的配置方法，提示config.json文件的url参数就是矿池地址。

查看config.json文件的url参数，获得矿池地址：c3pool.org。

七、钱包地址

网上查看xmrig挖矿程序的配置方法，提示config.json文件的user参数，就是xmrig的钱包地址。

查看config.json文件的user参数，获得钱包地址：4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y。

八、攻击者是如何攻击进入的

在第一题时我们已经知道，服务器最早于2024/5/21 20:25:22被192.168.115.131爆破rdp弱口令，因此攻击者是通过弱口令、或者密码爆破的方式拿下服务器的。

但这里填空题，受博大精深的中文影响，很难说到作者预设的答案。因此对“解题系统.exe”解包和反编译后，查看源代码得知作者预设的答案是：暴力破解，或密码喷洒。