蜜罐捕获 入侵 爆破 远控服务器 web应用漏洞利用
【蜜罐捕获】发一下Windows蜜罐的捕获
龙啸天 2019-08-27 22:28:09 524人浏览

IOC:

195.45.220.2

183.197.26.54

59.37.116.44

-------------------------------------------------------

入侵方式:HFS低版本提权攻击、RDP爆破攻击

-------------------------------------------------------

第一个是通过HFS低版本进行提权入侵的黑客黑客IP:183.197.26.54

网络定位:河北省邢台市巨鹿县光明北街西120米

Image

截止发布这篇情报之前 暂未发现此人有什么破坏行为

-------------------------------------------------------

第二个黑客通过RDP爆破后登录上传并运行病毒之后就断开远程桌面连接了

病毒名:Dlfpxbp.pif

Image

此病毒连接的C&C服务器IP:211.64.79.52 端口:2222

同时发现的另外一个可疑网络连接:59.37.116.44 端口:80

Image

病毒压缩包在下面

-------------------------------------------------------

同时在其他文件夹检查时发现了一个VBS脚本

其内容为挖矿程序

内容如下

Image

因为挖矿程序所在的文件夹还有其他相关文件 所以我也压缩成压缩包后上传了

ip地址(3) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
LT_TLs 2019-08-30 15:38:51 回复
666
895515845 2019-08-30 12:56:43 回复
666
gugan1 2019-08-28 21:58:31 回复
666
dirshell 2019-08-28 19:14:01 回复
666