实战BRTSvc一款我见过的最嚣张的挖矿软件

第一步：发现告警

---

---

Suricata发现特征字符串jsonrpc，这个是匹配挖矿木马的一个重要特征。于是开始分析告警信息：

告警中可以提取出的有效信息如下：

• 目标IP：149.28.199.108
• 目标IP：443
  
  其他的有效信息，几乎无。

第二步：定位受害者

---

---

根据受害者的源IP定位到了接入层交换机接口假设为GE1/0/21，根据跳线架寻找工位定位到一台Windows笔记本电脑。

第三步：艰难排查

---

---

定位大法一：寻找已知的挖矿木马

---

开启对应的路径例如

C:\Windows\
C:\Windows\system32\

未见到常见的Windows下的矿马没有看到，举几个小例子

TruestedHostServices.exe
WUDHostServices.exe
SpeechTrace.exe

于是进行第二步

定位大法二：根据流量来看

---

netstat -abon | findstr 149.28.199.108
tasklist

奇怪，匹配到的流量没有，没有，没有，重要的事情说三遍。只能进行第三步。

定位大法三：进程排查

---

• 看签名
• 看路径
  
  啥意思，这个意思就是
  
  首先排除掉有大厂签名的进程，然后在剩下进程中看路径，在系统或者关键路径下的进程都值得怀疑。还他妈真找到一个，压缩打包上传VT去搜索。
  
  
  
  顺面普及一个接口https://blackip.ustc.edu.cn/search.php?ip=149.28.199.108
  
  效果如下：
  
  

嚣张的证据

---

---

他妈的，人家说了我软件免费给你用，你的挖矿资助我，卧槽，这么牛逼的商业模式吗。当然还有一点很良心，只有在电脑闲置时候才挖矿，卧槽怪不得，我去上机排查总是抓不到流量，卧槽，牛逼牛逼，最后之后给这个OhSoft送一波666来结束了