事件背景
10月14日上午查看山石网科设备威胁日志时发现,ip为192.168.60.120的主机存在挖矿行为。
经在微步查询,178.128.242.134为矿池地址,确认为挖矿事件。
事件调查及处理
确认为挖矿事件后,安全第一时间联系IT同事定位192.168.60.120地址对应的员工,并封禁该员工的上网权限,联系该同事使用ESET对系统进行全盘杀毒。
据该员工反馈,192.168.60.120是申请用于测试的windows10台式机,为方便外网访问,在该电脑上安装了Zero Tier、花生壳等内网穿透软件,没有开启ESET杀毒软件,于近两日发现电脑运行缓慢。
10月15日,再次查看山石网科设备威胁日志时发现,192.168.60.120仍存在与矿池通信的行为。
于是安全直接联系该同事,对其电脑进行检查。
根据最早告警时间,定位到病毒运行时间为2020/10/12 02:05左右。搜索该时间段新创建的文件,发现有很多exe文件,经微步和VT扫描有四个文件均为病毒,已用杀毒软件进行隔离或删除。
查看windows系统日志,发现最早于2020/10/12 2:04分,电脑上安装了sqlbrowsers服务并设置为了自启动,对应的服务文件conhost.exe文件即为病毒文件。
Application日志中存在病毒启动记录:
查看windows安全日志,发现从2020/10/11 21:03起,有很多Logon登录审核失败的事件,可以看出是攻击者在尝试爆破用户名密码。
攻击者最终爆破成功,登录系统种植挖矿病毒。
这里爆破地址是127.0.0.1,原因是花生壳将电脑本地的3389端口转发至了公网,攻击者访问这个公网地址,相当于直接访问到了受害主机上的花生壳客户端,因此登录地址被识别为127.0.0.1。
事件结论
该员工通过在本机电脑上安装花生壳软件,将本地3389端口转发至花生壳公网地址,导致3389端口可被公网任意访问,最终导致被攻击者爆破口令登入系统,种植了挖矿病毒。