知攻善防靶机 Windows 挖矿事件应急

知攻善防 [hvv训练]应急响应靶机训练-挖矿事件

前景需要：机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。

挑战题解：

攻击者的IP地址

攻击者开始攻击的时间

攻击者攻击的端口

挖矿程序的md5

后门脚本的md5

矿池地址

钱包地址

攻击者是如何攻击进入的

相关账户密码： Administrator/zgsf@123

已进入页面立刻就弹了个窗。。。一看到xmrig就知道是和挖矿有关的

打开进程看一下，已经被挖矿病毒干爆了

直接右键打开程序所在的文件夹，可以找到挖矿病毒的源码了

MD5：A79D49F425F95E70DDF0C68C18ABC564

config.json就是相关的配置文件，在里面可以找到矿池地址和钱包地址

矿池地址：auto.c3pool.org:80

钱包地址：4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

使用工具查找一下开机时一闪而过的弹窗，这种一般就是常说的自启动

看到一个比较可疑的bat文件

果然就是那个恶意脚本

MD5：8414900F4C896964497C2CF6552EC4B9

发现注册的服务

查看了一下rdp登录记录，结合前面服务创建的时间大概在20:30的样子，所以大概是192.168.115.131这个IP登录搞的

又看了下登录失败的日志，这个时间很巧妙，20:25:22和上面登录成功的时间一样，有可能是先尝试登录失败了几次突然成功了，很有可能是爆破，至少次数有点少。

又翻了翻没有找到有其他的东西了，除了桌面有个dmz的账号密码和远程连接的软件

呃呃呃看了wp，嗯确实就是爆破进来的。。。

请输入攻击者开始攻击的时间(格式:xxxx-xx-xx xx:xx:xx):2024-05-21 20:25:22

请输入攻击者的IP地址:192.168.115.131

请输入攻击者攻击的端口(格式:xxxx):3389

请输入挖矿程序的md5:A79D49F425F95E70DDF0C68C18ABC564

请输入后门程序md5:8414900F4C896964497C2CF6552EC4B9

请输入矿池地址(仅顶级域名):c3pool.org

请输入攻击者钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y 请输入攻击者是如何攻击进入的(格式:XXXX):暴力破解