蓝队-应急响应01-挖矿事件应急处置
挖矿事件处置-思维导图:
我们将从下述几个方面对挖矿事件进行应急响应
1:挖矿事件的“现象”
Windows:
挖矿程序主要是利用GPU等资源进行挖矿操作,最直接的现象就是CPU拉满,消耗电力等。下述可以清楚看到,运行挖矿程序之后,查看CPU状态是拉满的,即100%。
挖矿程序通常会有相应的配置文件,如下config.json所示,可以看到钱包地址,挖矿域名等。
查看网络连接:
依据挖矿域名以及远程地址信息查询威胁情报,通常都是恶意的,情报平台会显示矿池等信息:
Linux: top命令
运行挖矿程序之前:
运行挖矿样本:
CPU直接 396.9%
2:如何排查挖矿程序?从攻击者的视角?如何上传的挖矿程序?
案例来自(xiaodisec)
上机top命令查看cpu占有率,可看出目前服务器CPU占用率高达200%。
依据挖矿程序,全盘搜索,发现下述两个路径均存在挖矿程序。 
路径1:查看文件,确认时间节点:最早上传的时间:2022年3月19日 21:10
路径2:查看文件,确认时间节点:2022年6月26日 18:01
进一步查看文件miner.sh,确认是挖矿程序,具体如下:
查看配置文件config.json。
继续查看威胁情报:确认为挖矿域名。
核心分析:
经过上述分析,基本确认是挖矿,确认挖矿之后,需要进一步探究挖矿程序是如何被上传?按照惯用套路,攻击者一般会拿下服务器权限,然后将其挖矿脚本上传至服务器。
那么如何拿下服务器的权限?又会涉及到作为攻击者会利用哪些方式?
通常情况下会通过未授权访问漏洞,弱口令(口令爆破)等方式,具体是什么方式,还需要看被入侵的服务器具体开放了哪些端口或者服务?这些端口,服务有无可利用的点?
查看自己服务器的端口开放情况:如下图所示:MYSQL是没有弱口令的,相比较而言,80web端口的攻击难度较低。
(值得注意的是一般挖矿类事件一般都是自动化程序批量去操作的,一般情况下不可能一个机器一个机器去入侵。)
(1) 直接河马一把梭,扫描全盘,看看是否有恶意程序和后门?经过扫描,发现了猫腻所在?
下面为河马导出的结果,需要根据上面挖矿程序上传的时间节点,进一步确认哪些木马是和本次攻击者相关的。
依据上述的路径查看可疑文件:
查看隐藏文件 .ini.php分析为冰蝎马。
(2)分析web日志,具体分析这个挖矿程序是什么时间。怎么样传上去的?查看访问日志 那个IP访问过.ini.php
ip:112.8.x.xx 112.x.x.x
info.php以及ini.php是一个攻击者。
通过上述分析可以知道,攻击IP是哪些,攻击手段就是通过攻击web网站,上传冰蝎马。
‘3:如何删除挖矿程序?即:后门清除?如何清除权限维持的木马/挖矿程序?
首先尝试kill相关进程,发现无果
过段时间又起来了分析通常挖矿病毒是带有权限维持的。
再次查看发现,挖矿病毒再一次运行。
对于linux系统而言,权限维持最常用的手段就是两个,第一启动项添加,第二就是定时任务。依据上述的思路,进一步进行排查。
find / -name xmrig 根目录下查找相关文件
发现两个路径:
/var/tmp/.mint-xmr/xmrig
/home/test/c3pool/xmrig
将上述文件全部删除,重启服务器即可。
一般情况下脚本如下:
update.sh
脚本自带远程下载挖矿病毒,定时写入定时任务,权限维持等。
pkill -f 全部都是挖矿的名称。
4:靶场实际案例分析:
#Linux-Web安全漏洞导致挖矿事件
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。
排查:挖矿程序-植入定时任务
排查:Web程序-JAVA_Struts2漏洞
#Windows-系统口令爆破导致挖矿事件
某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿。
排查:挖矿程序-植入计划任务
排查:登录爆破-服务器口令安全
#Linux-个人真实服务器被植入挖矿分析
挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等
附录:
威胁情报平台汇总:
#威胁情报相关平台:
Virustotal
深信服威胁情报中⼼
微步在线
venuseye
安恒威胁情报中⼼
360威胁情报中⼼
绿盟威胁情报中⼼
AlienVault
RedQueen安全智能服务平台
IBM X-Force Exchange
ThreatMiner