第一步:發現告警
Suricata發現特征字符串jsonrpc,這個是匹配挖礦木馬的一個重要特征。於是開始分析告警信息:
告警中可以提取出的有效信息如下:
- 目標IP:149.28.199.108
- 目標IP:443
其他的有效信息,幾乎無。
第二步:定位受害者
根據受害者的源IP定位到了接入層交換機接口假設為GE1/0/21,根據跳線架尋找工位定位到一台Windows筆記本電腦。
第三步:艱難排查
定位大法一:尋找已知的挖礦木馬
開啟對應的路徑例如
C:\Windows\
C:\Windows\system32\
未見到常見的Windows下的礦馬沒有看到,舉幾個小例子
TruestedHostServices.exe
WUDHostServices.exe
SpeechTrace.exe
於是進行第二步
定位大法二:根據流量來看
netstat -abon | findstr 149.28.199.108
tasklist
奇怪,匹配到的流量沒有,沒有,沒有,重要的事情說三遍。只能進行第三步。
定位大法三:進程排查
- 看簽名
- 看路徑
啥意思,這個意思就是
首先排除掉有大廠簽名的進程,然后在剩下進程中看路徑,在系統或者關鍵路徑下的進程都值得懷疑。還他媽真找到一個,壓縮打包上傳VT去搜索。
順面普及一個接口https://blackip.ustc.edu.cn/search.php?ip=149.28.199.108
效果如下:
囂張的證據
他媽的,人家說了我軟件免費給你用,你的挖礦資助我,卧槽,這么牛逼的商業模式嗎。當然還有一點很良心,只有在電腦閑置時候才挖礦,卧槽怪不得,我去上機排查總是抓不到流量,卧槽,牛逼牛逼,最后之后給這個OhSoft送一波666來結束了