目录
短信告警 恶意进程与程序 网络连接 CPU占用 后门 计划任务 自启服务 隐藏用户 自启程序 漏洞 安全日志
一、短信告警
Windows服务器设置弱口令(帐号Administrator,密码P@ssw0rd),一天后就能收到失陷告警。
二、恶意进程与程序
2.1、网络连接
因为告警内容是存在对外攻击行为,所以登录服务器先netstat -nao查看网络情况。服务器很卡,内容是一个字符接着一个慢慢打印出来的,最终获得恶意进程的PID:4200。
进入任务管理器,在详细信息按PID排序后迅速定位到4200的oOCs.exe。
右键打开文件所在位置并按修改日期排序,发现修改时间是告警当天,且修改时间相近的文件还有mimikatz程序及其结果,由此判断oOCs.exe是恶意程序。
回到任务管理器选择4200进程右键结束任务或结束进程树终止掉恶意进程。
2.2、CPU占用
进入任务管理器,在详细信息按CPU排序后迅速定位到PID是2652的winlogon.exe占用了几乎所有CPU资源。
右键打开文件所在位置发现路径是C:\Windows\debug\m\winlogon.exe,不是常见路径,且m文件夹是隐藏属性,winlogon.exe文件创建时间也与攻击告警时间相近,由此判断winlogon.exe是恶意程序。
回到任务管理器选择2652进程右键结束任务或结束进程树终止掉进程。
三、后门
恶意程序oOCs.exe和winlogon.exe的进程终止后,会换个PID重新运行,说明有后门或守护进程。
3.1、计划任务
Windows+R使用taskschd.msc进入任务计划程序->任务计划程序库,发现两个创建时间都是2024/8/14 6:17:08的计划任务,内容是启动恶意程序C:\Windows\oOCs.exe和C:\Windows\MFCUYdF.exe(找不到了),且创建者都是隐藏用户HCSS-ECS-89A8$(找不到了)。此时禁用这两个计划任务即可。
3.2、自启服务
Windows+R使用msinfo32进入系统信息->软件环境->服务,基于路径排序,排除掉c:\windows\syswow64\、c:\windows\system32\等一般不会被攻击者用于自启服务的路径,发现异常自启服务Windows Management和Windows Updata。
进入任务管理器,在服务按名称排序后迅速定位到Windows Management和Windows Updata,此时右键停止这两个自启服务即可。
这时候就可以正常终止前面发现的恶意进程了,操作系统的网络连接与CPU占用也恢复正常了。
3.3、隐藏用户
Windows+R使用regedit进入注册表编辑器,在计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names未发现隐藏用户。
3.4、自启程序
Windows+R使用msconfig进入系统配置->启动,未发现自启程序。
四、漏洞
接下来排查攻击者是如何拿下服务器权限的,然后亡羊补牢修复漏洞,否则攻击者下次还是能够进来。
4.1、安全日志
Windows+R使用eventvwr进入事件查看器->Windows日志->安全,在筛选当前日志处筛选事件ID是4625的账户登陆失败日志,发现有13920条,说明RDP服务被暴力破解了。
在筛选当前日志处筛选事件ID是4624的账户登陆成功日志,发现攻击时间相近的登陆日志有7条,逐个查看登陆源IP地址,获得攻击者IP地址:218.201.135.122,是山东的兄弟。
原来攻击者是爆破Administrator用户的弱口令进来的,看来得立刻修改密码,免得攻击者再次来犯。
