https://blog.csdn.net/qq_53577336/article/details/132789458
https://mp.weixin.qq.com/s/MWJW8ApoEMri58xpnkjTbA
https://mp.weixin.qq.com/s/URrNHvQSnFKOyefHKXKjQQ
https://blog.csdn.net/weixin_40667448/article/details/135775192
NOP Team, 《Windows 应急响应⼿册》
18G的靶场,夸克网盘加速,亲测有效
https://www.bilibili.com/video/BV1Cw4m1o7QK
账号密码
administrator:zgsf@123
首先应该断网隔离被感染的服务器/主机,防止成为跳板机。
打开任务管理器,点击详细信息标签。按照 CPU 占用降序排序,获取到异常进程的pid 及文件位置
打开资源监视器
查看恶意进程启动时间
wmic process where ProcessId=7188 get ProcessId, CreationDate
获取异常文件的时间信息
使用微步云沙箱对恶意样本进行分析
https://s.threatbook.com/
进程查杀是一个危险操作,所以可以考虑先暂停进程,看看是否符合预期,再决定是否杀死进程。需要注意的是,即使暂停了进程,该进程的网络连接不见得会断,一般情况下无法发送和接收数据。
CPU占用为0,但内存占用仍极大
杀死进程
taskkill /F /PID 7188
或
wmic process where ProcessId=7188 call Terminate
杀死当前进程之后,发现又启动了新的恶意进程
使用火绒剑
定位到异常启动项
定位该启动项文件位置,有个system.bat文件,该下载并执行一个远程的恶意挖矿脚本文件。
根据火绒剑进程树展示,应杀死xmring.exe的父进程nssm.exe,并删除相关恶意文件。而后进行常规的系统安全检查。
挖矿程序配置文件config.json
{
"api": {
"id": null,
"worker-id": null
},
"http": {
"enabled": false,
"host": "127.0.0.1",
"port": 0,
"access-token": null,
"restricted": true
},
"autosave": true,
"background": false,
"colors": false,
"title": true,
"randomx": {
"init": -1,
"init-avx2": 0,
"mode": "auto",
"1gb-pages": false,
"rdmsr": true,
"wrmsr": true,
"cache_qos": false,
"numa": true,
"scratchpad_prefetch_mode": 1
},
"cpu": {
"enabled": true,
"huge-pages": true,
"huge-pages-jit": false,
"hw-aes": null,
"priority": null,
"memory-pool": true,
"yield": true,
"asm": true,
"argon2-impl": null,
"argon2": [0, 1, 2, 3],
"cn": [
[1, 0],
[1, 1],
[1, 2],
[1, 3]
],
"cn-heavy": [
[1, 0],
[1, 1],
[1, 2],
[1, 3]
],
"cn-lite": [
[1, 0],
[1, 1],
[1, 2],
[1, 3]
],
"cn-pico": [
[2, 0],
[2, 1],
[2, 2],
[2, 3]
],
"cn/2": [
[1, 0],
[1, 1],
[1, 2],
[1, 3]
],
"cn/gpu": [
[1, 0],
[1, 1],
[1, 2],
[1, 3]
],
"cn/upx2": [
[2, 0],
[2, 1],
[2, 2],
[2, 3]
],
"flex": [0, 1, 2, 3],
"ghostrider": [
[8, 0],
[8, 1],
[8, 2],
"opencl": {
"enabled": false,
"cache": true,
"loader": null,
"platform": "AMD",
"adl": true,
"cn-lite/0": false,
"cn/0": false,
"panthera": false
},
[8, 3]
],
"panthera": [0, 1, 2, 3],
"rx": [0, 1, 2, 3],
"rx/wow": [0, 1, 2, 3],
"cn-lite/0": false,
"cn/0": false,
"rx/xeq": "rx/wow",
"rx/arq": "rx/wow",
"rx/keva": "rx/wow"
},
"cuda": {
"enabled": false,
"loader": null,
"nvml": true,
"cn-lite/0": false,
"cn/0": false,
"panthera": false
},
"log-file": "C:\\Users\\Administrator\\c3pool\\xmrig.log",
"donate-level": 0,
"donate-over-proxy": 1,
"pools": [
{
"algo": null,
"coin": null,
"url": "auto.c3pool.org:80 ",
"user": "4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5
W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y",
"pass": "WIN_E2Q5H2DPBGH",
"rig-id": null,
"nicehash": false,
"keepalive": true,
"enabled": true,
"tls": false,
"sni": false,
"tls-fingerprint": null,
"daemon": false,
"socks5": null,
"self-select": null,
"submit-to-origin": false
}
],
"retries": 5,
"retry-pause": 5,
"print-time": 60,
"health-print-time": 60,
"dmi": true,
"syslog": false,
"tls": {
"enabled": false,
"protocols": null,
"cert": null,
"cert_key": null,
"ciphers": null,
"ciphersuites": null,
"dhparam": null
},
"dns": {
"ipv6": false,
"ttl": 30
},
"user-agent": null,
"verbose": 0,
"watch": true,
"rebench-algo": false,
"bench-algo-time": 20,
"algo-min-time": 0,
"algo-perf": {},
"pause-on-battery": false,
"pause-on-active": false
}
api: 包含与API相关的配置,但在这个文件中没有提供详细信息。
http: 包含HTTP服务器的配置信息,包括主机地址、端口号、访问令牌等。
autosave: 一个布尔值,表示是否自动保存配置更改。
background: 一个布尔值,表示是否在后台运行程序。
colors: 一个布尔值,表示是否启用彩色输出。
title: 一个布尔值,表示是否在输出中包含标题。
randomx: 包含RandomX算法的配置信息,包括初始化、模式、缓存等。
cpu: 包含CPU相关的配置信息,如是否启用CPU挖矿、使用大页、优先级等。
opencl: 包含OpenCL相关的配置信息,用于GPU挖矿。
cuda: 包含CUDA相关的配置信息,也用于GPU挖矿。
donate-level: 捐赠级别,可能用于捐赠给开发者的设定。
log-file: 日志文件的路径。
pools: 包含矿池的配置信息,包括矿池的URL、用户名、密码等。
user-agent: 用户代理字符串,用于HTTP请求。
watch: 一个布尔值,表示是否监视某些事件。
pause-on-battery: 一个布尔值,表示在电池供电时是否暂停运行。