蜜罐捕获 入侵 弱口令攻击 远控服务器 木马
【蜜罐捕获】Windows蜜罐下捕获的一个木马和两个黑客
龙啸天 2019-06-26 15:56:53 1101人浏览

IOC:

119.29.116.128

223.104.6.61

27.8.166.201

in.7ye.in

------------------------------------------------------

好久没写情报了,只因迷(hei)上了蔡徐坤...

Image

好吧不扯淡了,这次蜜罐系统捕获到一个木马和两个黑客

所有入侵方式均通过RDP爆破入侵

第一个黑客登录IP为:223.104.6.61

Image

网络定位:厦门市莲花北路太阳堂内

入侵后添加后门账号 administratot 企图通过 administrator 账户名来混淆

Image

然后通过HFS网站下载并运行木马:http://in.7ye.in:3366/

Image

木马连接C&C服务器:119.29.116.128 端口:81

Image

木马样本我依然放在文章最下面

最后将135入侵工具上传到蜜罐系统内,企图通过蜜罐系统继续对外入侵(这个工具我笑纳了)

Image

打开“破解的WMI”后

Image

IE浏览记录不删除,后缀名搞不明白,他入侵的样子好像蔡徐坤啊

Image

第二个黑客是在我写这个报告的时候入侵的

黑客IP:27.8.166.201

Image

这个做的不多,因为他一登录我就给注销了233

ip地址(3) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
域名(1) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
Hash(1) 检测结果 关联样本 微步标签 免费 全部 < 1/1 >
xiqing_ao 2019-08-05 09:13:29 回复
为啥总是被RDP入侵,开放到公网不做双因素认证或者访问控制吗
小学生admin 2019-06-29 18:22:32 回复
马子看样子是大灰狼和天罚,这135也能用?
匿名用户 2019-06-26 23:09:24 回复
请问这个蜜罐系统是开源的吗,最近找了几个感觉都不太好