载入虚拟机,开启虚拟机:
(账户密码:administrator/zgsf@123)
发现登录进去就弹出终端界面,自动运行powshell命令,看来存在计划任务,自动下载了一些文件,之后就主动结束退出终端界面了
先点击看看桌面的“解题.exe”:
1.攻击者开始攻击的时间
2.攻击者的ip地址
3.攻击者攻击的端口
4.挖矿程序的md5
5.后门脚本的md5
6.矿池地址(仅域名)
7.攻击者的钱包地址
8.攻击者是如何攻击进入的
根据问的问题,推测开机自启动的应该是个挖矿程序,并且一开始显示的下载压缩包的文件路径中没有了,应该是下载后解压后自动删除了,查看任务管理器,发现有个程序占用CPU率贼高,而且杀死进程又会重新启动(跟平时上课的红蜘蛛一样):
复制粘贴下来,放到奇安信沙箱跑一下:
很明显,就是个挖矿程序,md5值:6D68D914CE545056F383C47A444CEAF8
上传一些工具,查看“登录失败日志”:
2024-05-21 20:25:22 administrator DESKTOP-PESL5DR %%2313 0xc000006a NtLmSsp 0x0 - 192.168.115.131 4625
查看”事件查看器“的”Windows日志安全“选项,找到对应的事件ID4625,发现一堆Logon任务规则:
查看“登录成功日志”:
(记得点击“All rows”)
2024-05-21 20:25:22 Administrator WIN-E2Q5H2DPBGH 3 NtLmSsp DESKTOP-PESL5DR - 192.168.115.131 0 4624
得到以下信息:
攻击者开始攻击的时间:2024-05-21 20:25:22
攻击者的ip地址:192.168.115.131
攻击者是如何攻击进入的:暴力破解
一般暴力破解都是远程桌面登录,去防火墙中看看入站规则中有没有启动远程桌面服务:
得知远程桌面服务开启,且端口是3389
得知攻击者攻击的端口是3389
查看“火绒剑”的“启动项”:
是一段powshell脚本,c3pool.org看起来像是个矿池域名,让奇安信沙箱分析一下,文本内容让AI分析一下:
访问一下c3pool.org:
一眼就看到挖矿程序,输入一下所谓的钱包地址
已经可以确定就是钱包地址了
得到以下信息:
后门脚本md5值:8414900F4C896964497C2CF6552EC4B9
矿池地址(仅域名):c3pool.org
钱包地址:
4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
总结一下:
1、2024-05-21 20:25:22
2、192.168.115.131
3、3389
4、6D68D914CE545056F383C47A444CEAF8
5、8414900F4C896964497C2CF6552EC4B9
6、c3pool.org
7、
4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
8、暴力破解
但当我填写挖矿程序得md5值时却突然退出,我对比了一遍别人的攻略,发现我的挖矿程序得md5值不对,我又检查了一遍:
certutil -hashfile xmrig.exe MD5
那看来是”解题.exe“的锅了”,修改之后继续做下去:
A79D49F425F95E70DDF0C68C18ABC564
成功攻克该靶机!
