zoukankan      html  css  js  c++  java
  • 实战BRTSvc一款我见过的最嚣张的挖矿软件

    第一步:发现告警



    Suricata发现特征字符串jsonrpc,这个是匹配挖矿木马的一个重要特征。于是开始分析告警信息:
    告警中可以提取出的有效信息如下:

    • 目标IP:149.28.199.108
    • 目标IP:443
      其他的有效信息,几乎无。

    第二步:定位受害者



    根据受害者的源IP定位到了接入层交换机接口假设为GE1/0/21,根据跳线架寻找工位定位到一台Windows笔记本电脑。

    第三步:艰难排查



    定位大法一:寻找已知的挖矿木马


    开启对应的路径例如

    C:Windows
    C:Windowssystem32
    

    未见到常见的Windows下的矿马没有看到,举几个小例子

    TruestedHostServices.exe
    WUDHostServices.exe
    SpeechTrace.exe
    

    于是进行第二步

    定位大法二:根据流量来看


    netstat -abon | findstr 149.28.199.108
    tasklist 
    

    奇怪,匹配到的流量没有,没有,没有,重要的事情说三遍。只能进行第三步。

    定位大法三:进程排查


    • 看签名
    • 看路径
      啥意思,这个意思就是
      首先排除掉有大厂签名的进程,然后在剩下进程中看路径,在系统或者关键路径下的进程都值得怀疑。还他妈真找到一个,压缩打包上传VT去搜索。

      顺面普及一个接口https://blackip.ustc.edu.cn/search.php?ip=149.28.199.108
      效果如下:

    嚣张的证据



    他妈的,人家说了我软件免费给你用,你的挖矿资助我,卧槽,这么牛逼的商业模式吗。当然还有一点很良心,只有在电脑闲置时候才挖矿,卧槽怪不得,我去上机排查总是抓不到流量,卧槽,牛逼牛逼,最后之后给这个OhSoft送一波666来结束了

  • 相关阅读:
    C#中IPAddress转换成整型int
    没有注册类 (异常来自 HRESULT:0x80040154 (REGDB_E_CLASSNOTREG))
    VB.NET或C#报错:You must hava a license to use this ActiveX control.
    c#几种随机数组和数组乱序
    C#封装的websocket协议类
    VB生成条形码(EAN-13)
    VB控件间的拖放
    VB用API模拟截屏键PrintScreen
    VB读写进程的内存
    几个VB常见又内涵的错误
  • 原文地址:https://www.cnblogs.com/KevinGeorge/p/10003535.html
Copyright © 2011-2022 走看看