蜜罐捕获 入侵 爆破 弱口令攻击 远控服务器
【蜜罐捕获】捕捉到一个Windows下的远控病毒和黑客
龙啸天 2019-06-28 10:29:51 1160人浏览

IOC:

125.87.42.227

103.17.117.235

-----------------------------------------------

入侵方式:RDP爆破攻击

黑客登录IP:125.87.42.227

Image

网络定位:重庆市南泉正街北25米

登录后先上传并运行远控木马 svchsot.exe

Image

远控病毒网络连接:103.17.117.235 端口:2012

Image

之后创建后门账户 admin

Image

通过永硕网盘下载某个工具(链接已失效)

Image

我怀疑是在此之后从C盘内找到的 冰点V4.3xw 服务器版.zip

但是链接是rar后缀名,这个是zip

“我怀疑他在搞破坏 但是我没有充足的证据”


同时此黑客还使用了反侦察手段

1.禁用任务管理器

Image

2.禁用注册表

Image

3.禁用Win+R

Image

之后进行病毒检测

检测到此病毒连接的C&C服务器域名为:q979421657.oicp.net 和 q929908755.oicp.net

此处发现此黑客的两个QQ账号

第一个QQ号涉及大量黑产行为

Image

第二个QQ号表面是治病

Image

但是发现此QQ号上的网址 www.6611880.win 涉及大量政治反党内容

Image

最后获得此黑客的个人信息:

姓名:李常君

联系电话:0745-6611880

QQ:929908755

工作地址:湖南省芷江同族自治县新店坪镇红花园桥工队路口上走250米处

家庭住址:重庆市南泉正街北25米

同事电话(无辜躺枪?):15111544590

样本文件依然放在下面(解压密码:www.zhanyingwl.com)

ip地址(2) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
coolang 2019-07-02 21:48:36 回复
用没事蜜罐?
匿名用户 2019-07-02 14:07:03 回复
用的什么蜜罐捕获到的
dirshell 2019-07-01 15:50:37 回复
牛啊
匿名用户 2019-07-01 11:59:46 回复
感谢详细分享
匿名用户 2019-06-30 22:37:26 回复
可以,牛
匿名用户 2019-06-29 16:45:49 回复
奖励计划banner
今日推荐