知工善防Windows server挖矿案例题解WP

Windows 2022 挖矿案例分析

一、实验准备

涉及工具

  1. 虚拟机环境搭建
    准备Windows 2022虚拟机文件,默认登录密码为 zgsf@123
    虚拟机文件准备

    虚拟机网络配置可根据实际需求选择 本地模式、NAT模式桥接模式
    虚拟机网络配置

  2. VMware Tools安装
    为确保虚拟机文件共享、分辨率适配等功能正常,需安装VMware-Tools,安装完成后重启服务器。
    安装VMware-Tools

二、核心问题解析

需通过日志分析、进程排查、配置文件读取等操作,获取以下8个关键答案:

1. 攻击者开始攻击的时间

分析思路:通过Windows日志工具 WindowsLog_Check 分析登录失败日志(事件ID:4625),筛选非本地IP(非127.0.0.1)的第一条登录记录时间。
登录失败日志分析

flag:**2024-05-21 20:25:22**

2. 攻击者的IP地址

分析思路:延续 WindowsLog_Check 工具的日志分析结果,从4625事件中提取非本地的攻击源IP。
攻击者IP提取

flag:**192.168.115.131**

3. 攻击者攻击的端口

分析思路:结合第1题的RDP登录日志(Windows远程桌面协议),RDP默认使用的端口为3389,且攻击行为与RDP登录失败直接相关。

flag:**3389**

4. 挖矿程序的MD5

分析思路

  1. 打开「资源管理器」→「进程」,排查CPU/内存占用异常的进程(若挖矿程序未自动启动,需手动运行 C:\Users\Administrator\c3pool\systems.bat);
  2. 定位可疑挖矿程序 xmrig.exe(常见开源挖矿工具),使用哈希计算工具(如HashTab)计算其MD5值。

异常进程排查
挖矿程序确认

flag:EE9C5EA77FEF2F1DF18DE61029199168

5. 后门脚本的MD5

分析思路

  1. 运行 msinfo32(系统信息工具),展开「软件环境」→「启动程序」,排查可疑开机启动项;
  2. 发现伪装为 systems 的启动项,路径为 C:\Users\Administrator\AppData\systems.ps1
  3. 使用哈希工具计算该PowerShell脚本的MD5值。

可疑启动项排查
后门脚本路径

flag:8414900F4C896964497C2CF6552EC4B9

6. 矿池地址(仅域名,案例给定含端口)

分析思路:打开挖矿程序目录 C:\Users\Administrator\c3pool,读取配置文件 config.json,在 pools 数组的 url 字段中提取矿池地址。 

1
2
3
4
5
6
7
8
9
10
"pools": [
    {
        "algo": null,
        "coin": null,
        "url": "auto.c3pool.org:80",  // 矿池地址
        "user": "xxx",  // 钱包地址(后续问题使用)
        "pass": "WIN_E2Q5H2DPBGH",
        "enabled": true
    }
]

c3pool 也叫猫池,采用门罗币付款。
矿池地址配置

flag:auto.c3pool.org:80

7. 攻击者的钱包地址

分析思路:延续 config.json 文件的分析,pools 数组的 user 字段即为攻击者的加密货币钱包地址(用于接收挖矿收益)。

钱包地址提取

flag:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

8. 攻击者的入侵方式

分析思路:结合第1-3题的日志与端口分析,攻击者通过暴力破解Windows远程桌面(RDP,端口3389)的登录密码,获取管理员权限后植入挖矿程序与后门脚本。

flag:暴力破解(RDP端口3389密码)

三、补充:XMRig挖矿程序配置说明

XMRig是常见的开源CPU/GPU挖矿工具,核心配置参数如下(通过命令行或 config.json 配置):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 核心参数说明
-o, --url       矿池地址(如 auto.c3pool.org:80)
-a, --algo      挖矿算法(如 randomx,需与矿池匹配)
--coin          指定挖矿币种(替代算法参数)
-u, --user      钱包地址(攻击者收益接收地址)
-p, --pass      矿池密码(通常为自定义标识,如设备名)
-O, --userpass  钱包地址:密码(合并写法)
-k, --keepalive 保持连接(防止矿池超时断开)
--tls           启用SSL加密连接(部分矿池支持)

# 日志与调试参数
-l, --log-file  日志输出路径(如 C:\c3pool\xmrig.log)
--print-time    哈希率报告间隔(默认60秒)
--verbose       启用详细日志(调试用)

# 硬件配置参数
-t, --threads   CPU挖矿线程数(建议不超过核心数的80%)
--cpu-affinity  CPU核心绑定(优化性能)
--no-huge-pages 禁用大页内存(解决部分系统兼容性问题)