蜜罐捕获 入侵 爆破 远控服务器 后门连接
【蜜罐捕获】严重:Windows蜜罐系统捕获到可横向传播的病毒
龙啸天 2019-09-06 17:14:36 571人浏览

IOC:

scsc10.xicp.net

-------------------------------------------

入侵方式:RDP爆破入侵、“永恒之蓝”445端口入侵

好久没看蜜罐了

今天登录到和蜜罐同一网关下的服务器是发现系统被入侵

对外疯狂扫描 并且尝试通过445端口对局域网进行攻击

我想这个不可能啊 这台服务器是严格保密的 不可能被入侵

我一个激灵 想起来肯定是蜜罐有收获

果然

在蜜罐系统中发现了对外的扫描进程

看来是内网扫完了 开始扫外网了

Image

之后顺藤摸瓜找到了扫描器的目录

Image

目录下的文件

Image

打开了他的主批处理文件 却发现是加密的

但是npp++无视这个设定

Image

经过确认,此工具是“永恒之蓝”利用工具。

同时捕捉到黑客的木马,是工具利用成功后运行的木马。

Image

木马连接C&C服务器域名:scsc10.xicp.net 端口:未知

因为此域名目前暂时无解析IP

样本我也然放在下面

域名(1) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
Hash(1) 检测结果 关联样本 微步标签 免费 全部 < 1/1 >
luolin6888 2019-09-13 19:48:58 回复
能抓到他吗
匿名用户 2019-09-09 17:19:13 回复
向大佬学习