知识点

1、应急响应-挖矿病毒-定性&排查
2、应急响应-挖矿病毒-应急&处置

演示案例-蓝队技能-挖矿病毒-样本&定性&排查&应急&处置

挖矿病毒
随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。
可以利用个人电脑或服务器进行挖矿，具体现象为CPU拉满，网络阻塞，服务器卡顿等。

挖矿病毒的大致运行植入原理
0、上传执行（怎么造成）
1、攻击者通过上传执行程序或脚本
2、运行程序或脚本，会清理其他同行程序
3、下载的挖掘程序，并写入权限维持技术

排查方向
危害：CPU拉满，网络阻塞，服务器卡顿等

分析定性
1、进程找到文件，文件上传威胁情报平台解析分析
2、网络找到外链，URL&IP上传威胁情报平台解析分析

windows样本

linux样本

应急处置

1、排查重启生效项-windows（计划任务、启动项，服务等）

一、计划任务



二、启动项

三、服务

2、排查重启生效项-linux（启动项，定时任务、守护进程等）

一、开机启动项
查看所有开机自启动项命令

systemctl list-unit-files --type=service | grep enabled

参考：https://blog.csdn.net/qq_39257117/article/details/137068553

二、定时计划任务(cron)
查看当前用户的定时任务

crontab -l

所有root用户定义的 crontab 文件都被保存在 /etc/crontab 目录中
所有非root用户定义的 crontab 文件都被保存在 /var/spool/cron 目录中

三、守护进程

systemctl status PID号

3、排查入口攻击点（借助什么攻击或漏洞进入）

靶场案例-Windows-Server 2022 挖矿事件

Administrator / zgsf@123

参考：https://mp.weixin.qq.com/s/Z789QrPTAopCc7RftAK1QQ

1、如何定性为挖矿事件

2、处置挖矿服务及计划任务

这里一共做了两个权限维持：1、系统计划任务 2、服务
删除这两个权限维持后就可以结束挖矿进程，如果挖矿程序没复发就可以把挖矿文件全部删除，重启后再无挖矿进程就代表清理完毕了。

3、分析挖矿攻击入口点

通过系统日志初步判断是3389爆破进来，攻击者IP为192.168.115.131。

靶场案例-Linux-个人真实服务器被植入挖矿分析

1、如何定性为挖矿事件

2、处置挖矿服务及计划任务

查看当前用户的定时任务

crontab -l

所有root用户定义的 crontab 文件都被保存在 /etc/crontab 目录中
所有非root用户定义的 crontab 文件都被保存在 /var/spool/cron 目录中

3、分析挖矿攻击入口点

要分析对方怎么拿到的服务器权限，需要先知道系统开了哪些端口服务、WEB服务。再来判断这些服务是不是存在突破点(弱口令、未授权、RCE漏洞等)
一般挖矿都是工具自动化批量扫弱口令、未授权等方式进来的。

靶场案例-Linux Centos 挖矿事件

root / 1qaz2wsx3edc

参考：https://mp.weixin.qq.com/s/OuzkbDRVqeNmH_kgptjwug