依舊手癢開局，知攻善防實驗室的原創靶機
https://mp.weixin.qq.com/s/URrNHvQSnFKOyefHKXKjQQ
相關賬戶密碼：
Administrator/zgsf@123
注意：做個原始快照（方便日后復習），安裝VMware tool（安裝后圖形化界面會好看很多）
1、攻擊者的IP地址
沒看見服務器部署WEB服務，可能是RDP遠程登錄進來的，那就看下日志。
win+r，然后輸入eventvwr打開事件查看器，Windows日志–安全（查看安全日志）
右鍵‘安全’–篩選當前日志–篩選id為4625的事件（從賬戶登錄失敗記錄，查看是否存在暴力破解）

系統日志（System）
6005：表示系統日志服務已啟動，通常用于判斷系統是否正常啟動。
6006：表示系統日志服務已停止，通常用于判斷系統是否正常關機。
6009：表示系統非正常關機，例如通過按 Ctrl+Alt+Delete 強制關機。
41：表示系統在未正常關機的情況下重新啟動，常見于意外斷電或系統崩潰。
1074：記錄系統關機、重啟的時間及原因。
7045：表示服務創建成功。
7030：表示服務創建失敗。
安全日志（Security）
4624：賬戶成功登錄。
4625：賬戶登錄失敗，可用于檢測暴力破解攻擊。
4634：賬戶被注銷。
4647：用戶發起注銷。
4648：試圖使用明確的憑證登錄，可用于查看遠程登錄相關信息，如遠程登錄的 IP 地址。
4672：授予特殊權限。
4720：創建用戶。
4726：刪除用戶。
4732：將成員添加到啟用安全的本地組中。
4733：將成員從啟用安全的本地組中移除。
應用程序日志（Application）
1116：反惡意軟件平臺檢測到惡意軟件或其他可能不需要的軟件。
其他日志
104：記錄所有審計日志清除事件。
4199：TCP/IP 地址沖突。
4800：工作站被鎖定。
4801：工作站被解鎖。

發現同一時間段內有多次登錄失敗記錄，確認存在暴力破解行為
點擊事件可發現攻擊者IP為
192.168.115.131
2、攻擊者開始攻擊的時間
請看上圖，2024/5/21 20:25:22
3、攻擊者攻擊的端口
win+r輸入cmd，netstat -a（查看端口開放情況）
根據端口開放情況，可以判定攻擊者對rdp端口進行暴力破解，因此攻擊的端口為
3389
4、挖礦程序的MD5
一般來說挖礦程序的話，CPU、GPU、內存三者中就會有個使用率高的家伙，crtl+shift+esc打開任務管理器查看使用情況

找到你了bro！把它丟到微步云沙箱，可看到詳細的分析結果（甚至MD5都給出來了）
當然也可以使用命令計算MD5值
certutil -hashfile xmrig.exe MD5
a79d49f425f95e70ddf0c68c18abc564
5、后門腳本的MD5
回想到剛開機彈了個命令行窗口，后門腳本應該在計劃任務中（啟動項）
win＋r 輸入taskschd.msc，查看計劃任務程序
初見端倪，在systemTesst中發現該任務啟動一個奇怪的bat文件
打開發現這就是后門腳本
使用命令計算MD5
8414900f4c896964497c2cf6552ec4b9
6、礦池地址
回到任務管理器，右鍵XMRig miner，打開文件所在位置，可發現與程序存在同一目錄下的config.json配置文件

1. 網絡相關參數
-o 或 --url：指定挖礦池的 URL。
-u 或 --user：挖礦池的用戶名，通常是你的錢包地址。
-p 或 --pass：挖礦池的密碼，通常為 x 或其他自定義密碼。
--tls：啟用 SSL/TLS 支持（需要挖礦池支持）。
--nicehash：啟用 NiceHash 模式。
--rig-id：為挖礦池統計設置的 ID（需要挖礦池支持）。
2. 挖礦算法相關參數
-a 或 --algo：指定挖礦算法，如 cryptonight、randomx 等。
--coin：指定挖礦的加密貨幣，而不是直接指定算法。
--variant：指定算法的變體，例如 -1 表示自動檢測，0 表示舊版本算法，1 表示新版本算法。
3. CPU 挖礦相關參數
--no-cpu：禁用 CPU 挖礦。
-t 或 --threads：指定 CPU 線程數。
--cpu-priority：設置進程優先級（0 表示空閑，2 表示正常，5 表示最高）。
--cpu-affinity：設置進程與 CPU 核心的親和性。
--randomx-no-numa：禁用 RandomX 的 NUMA 支持。
4. 其他配置參數
--donate-level：設置捐贈級別，默認為 5%。
--retries：在切換到備份服務器之前重試的次數。
--retry-pause：重試之間的暫停時間。
--print-time：每隔多少秒打印一次哈希率報告。
--log-file：將所有輸出記錄到指定的日志文件。

auto.c3pool.org
7、錢包地址
由上題可知
4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
8、攻擊者是如何攻擊進入的
由上分析，攻擊者通過暴力破解服務器3389（RDP）端口使用遠程連接進入
9、驗證
運行桌面的解題系統.exe
嗷K，大功告成！