正文

【网络安全安全管理入门必知必会】应急响应之挖矿木马实战演练,收藏这一篇就够了

admin
admin V管理员 /0 评论 /35 阅读
1028
此篇文章发布距今已超过11天,您需要注意文章的内容或图片是否可用!

前言

    这是龙哥给粉丝盆友们整理的应急响应阶段第2篇。

    喜欢的朋友们,记得给龙哥点赞支持和收藏一下,关注我,学习黑客技术。

什么是挖矿木马

挖矿木马是一种恶意软件,它在未经用户许可的情况下,利用用户的计算资源来挖掘加密货币,从而为攻击者带来非法收益。这类软件通常通过多种手段传播,例如利用系统漏洞、弱密码爆破、伪装正常软件等方法感染目标设备。

目录:

什么是挖矿木马

挖矿木马的危害:

挖矿木马-实战(排查)

(1)事件概述.

(2)确认攻击的范围.(有多少主机被攻击了)

消除木马:

(1)查看 CPU 的运行情况,是否存在挖矿木马.

(2)查看这个 挖矿木马的 文件路径在哪.(记下时间,等下查看日志有用)

(3)进行 挖矿木马 分析.(使用 威胁情报 进行分析.)

(4)尝试关闭挖矿木马的进程.(一般都会再次运行起来.)

(5)进行删除 挖矿木马 程序.(上面已经查找出文件的位置了)

(6)排查 定时任务.

(7)如果还有,可以排查开机启动项.

日志分析:(随便排查出系统存在的其他隐患)

(1)排查 是否存在后门.(Web网站)

(2)根据 后门木马信息 和利用 挖矿木马 的时间,找到上传挖矿木马的后门.

(3)排查完进行删除所以木马文件.

日志存在:

日志不存在:

漏洞修复:

(1)对黑客的入侵点进行修复,如果渗透测试的结果还有别的安全隐患,也进行修复.

(2)部署Web安全设备(IPS),杀毒软件,流量监控设备.

(3)定期给主机打补丁.

挖矿木马的危害:

▶ 影响计算机性能:挖矿木马会占用大量的CPU资源,导致电脑运行缓慢,甚至出现卡顿现象 。
▶ 浪费资源:挖矿过程中会消耗大量的电力,加快硬件老化速度 。
▶ 安全风险:挖矿木马可能会使用户的计算机成为黑客的控制对象,从而窃取个人信息和金融数据,造成财产损失。

挖矿木马-实战(排查)

(1)事件概述.

接到某司客户应急响应请求:客户服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直跑满的】

了解现状了解发病时间了解系统结构了解网络结构
主机一直卡,CPU一直跑满05:51Linux 系统 系统.外网 / 内网
主机一直卡,CPU一直跑满06:30Linux 系统 系统.内网
主机一直卡,CPU一直跑满06:57Linux 系统 系统.内网

(2)确认攻击的范围.(有多少主机被攻击了)

到客户现场发现有服务器和多台终端PC中了挖矿木马.【主机一直卡,CPU一直满的】

主机名IP感染的情况传播手段
服务器192.168.1.106CPU一直跑满利用其他主机漏洞进行横向渗透.
终端PC1192.168.1.109CPU一直跑满利用其他主机漏洞进行横向渗透.
终端PC1192.168.1.120CPU一直跑满利用其他主机漏洞进行横向渗透.

消除木马:

(1)查看 CPU 的运行情况,是否存在挖矿木马.

top                # 查看 CPU 的运行情况.

(2)查看这个 挖矿木马的 文件路径在哪.(记下时间,等下查看日志有用)

find / -name xmrig        # 文件名在 CPU 运行满的最后面.

find / -name 文件名

(3)进行 挖矿木马 分析.(使用 威胁情报 进行分析.)

上传 样本 进行分析,也可以根据里面的 域名 或者 IP地址 进行分析.

https://x.threatbook.com/                # 微步在线
 
https://www.virustotal.com/gui/          # VirusTotal(上传文件,检查木马)
 
https://ti.360.net/#/homepage            # 360威胁平台
 
https://ti.nsfocus.com/                  # 绿盟威胁情报平台
 
https://ti.dbappsecurity.com.cn/         # 安恒威胁情报平台

怎么 分析IP 地址呢!(可以查看网络连接找到IP地址的.)

其他所以排查方法:

(4)尝试关闭挖矿木马的进程.(一般都会再次运行起来.)

kill 5157            # 关闭这个进程.

kill 进程数

(5)进行删除 挖矿木马 程序.(上面已经查找出文件的位置了)

(6)排查 定时任务.

定时定点执行Linux程序或脚本.

crontab -e            # 用来创建定时任务.

crontab -l            # 查看有多少个任务.

定时保存的路径有以下几个.

vi /var/spool/cron/        # 目录里的任务以用户命名.

vi /etc/crontab             # 调度管理维护任务.(排查里面有没有新的添加)

vi /etc/cron.d/    # 这个目录用来存放任何要执行的crontab文件或脚本

(排查有没有新的添加文件 再和运维核对 进行排查)

vi /etc/cron.hourly            # 每小时执行一次

vi /etc/cron.daily             # 每天执行一次

vi /etc/cron.weekly            # 每周执行一次

vi /etc/cron.monthly           # 每月执行一次

(7)如果还有,可以排查开机启动项.

其他所以排查方法:应急响应:Linux 入侵排查思路.

日志分析:(随便排查出系统存在的其他隐患)

先 Web 的日志(看看是不是上传了木马),系统的日志.(看看是不是被爆破了)

(1)排查 是否存在后门.(Web网站)

使用河马的扫描工具(扫描后门木马)

chmod +x hm        # 添加权限
find / -name xmrig        # 文件名在 CPU 运行满的最后面.

find / -name 文件名
0

(2)根据 后门木马信息 和利用 挖矿木马 的时间,找到上传挖矿木马的后门.

(3)排查完进行删除所以木马文件.

日志存在:

(1)确定攻击时间.

就是后门的上传时间,在日志中找这个后门木马的文件名.(比如上面的:.bgxg.php)

(2)确定攻击特征.

文件上传.

(3)确定特征文件.

就是后门木马文件.

(4)确定攻击者IP

(5)攻击复现.

在日志中 找到木马的路径,进行测试就行.

日志不存在:

(1)黑盒测试.(对 Web 网站进行渗透测试.)
(2)查看系统服务是否存在弱口令(Redis,ssh等)

漏洞修复:

(1)对黑客的入侵点进行修复,如果渗透测试的结果还有别的安全隐患,也进行修复.

(2)部署Web安全设备(IPS),杀毒软件,流量监控设备.

(3)定期给主机打补丁.


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下