大连建网站公司,做网站设计公司价格,手机网站开发视频教程,最简单的企业简介0x00 主机表现
windows主机cpu拉满#xff0c;主机卡顿#xff0c;初步判断为中了挖矿病毒
0x00 处置
通过cpu拉满状态#xff0c;定位初步的进程文件#xff0c; 通过进程得到的文件上传沙箱#xff0c;结果显示为恶意文件#xff0c; 定位到文件夹#xff0c; 存…0x00 主机表现
windows主机cpu拉满主机卡顿初步判断为中了挖矿病毒
0x00 处置
通过cpu拉满状态定位初步的进程文件 通过进程得到的文件上传沙箱结果显示为恶意文件 定位到文件夹 存在配置文件config.json文件对文件内容进行分析 通过分析JSON文件看起来像是一个配置文件用于配置某个软件或程序的行为。其中包含了一些特殊的字段符号cpuopenclpools等
api: 包含与API相关的配置但在这个文件中没有提供详细信息。
http: 包含HTTP服务器的配置信息包括主机地址、端口号、访问令牌等。
autosave: 一个布尔值表示是否自动保存配置更改。
background: 一个布尔值表示是否在后台运行程序。
colors: 一个布尔值表示是否启用彩色输出。
title: 一个布尔值表示是否在输出中包含标题。
randomx: 包含RandomX算法的配置信息包括初始化、模式、缓存等。
cpu: 包含CPU相关的配置信息如是否启用CPU挖矿、使用大页、优先级等。
opencl: 包含OpenCL相关的配置信息用于GPU挖矿。
cuda: 包含CUDA相关的配置信息也用于GPU挖矿。
donate-level: 捐赠级别可能用于捐赠给开发者的设定。
log-file: 日志文件的路径。
pools: 包含矿池的配置信息包括矿池的URL、用户名、密码等。
user-agent: 用户代理字符串用于HTTP请求。
watch: 一个布尔值表示是否监视某些事件。
pause-on-battery: 一个布尔值表示在电池供电时是否暂停运行。这个JSON文件的具体用途取决于应用程序或工具可能是某个加密货币挖矿软件的配置文件或其他类型的工具的配置文件。
计划任务
在计划任务获取到两个计划任务一个为正常的破解软件的程序另外一个计时任务也同样定位到了之前看到的恶意程序
日志分析
在windwos安全日志中存在大量的失败爆破登录4625且与木马文件的时间相近似 存在192.168的爆破日志事件表明帐户Administrator已经成功登录到计算机WIN-BAKDHQ1993U登录过程由进程C:\Windows\System32\winlogon.exe启动。登录是从IP地址192.168.226.1的主机发起的目标服务器名称是localhost。 木马文件的上传时间2022-3-23 939 rdp爆破成功登录时间 2022-3-21 1627 计划任务时间2022-3-23 946 使用pchunter查看其他详细信息 同样也存在映像劫持 查看注册表相关进程文件初步审查未发现其他异样文件
总结
初步判定为192.168主机的rdp爆破进入本主机主机存在木马文件且存在计划任务后门映像劫持用来权限维持将相关病毒查杀删除后全班主机查杀后重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。
