远控服务器 木马 后门连接 其他攻击
分析'疫情期间,监控下的X爱'样本
匿名用户 2020-02-08 22:40:16 1278人浏览

1.png

这么小的文件骗谁呢,来扔沙箱跑一下.

2.png3.png4.png5.png6.png7.png

沙箱跑出来的结果出来了,压缩包为恶意压缩包,从分析结果来看,创建了一个txt还远程下载一个exe文件,下载本地看了下,下载的文件竟然39M之大,会是什么东西呢?

8.png

被控端三个字特别明显,好奇心来了他究竟是啥的,扔虚拟机跑一下看.

9.png

显示是:第三只眼监控管理系统-被控端….好继续下一步

10.png

安装完成后,监控到的连接的地址:222.189.238.246:40019

11.png12.png

接下来去分析样本涉及的两个IP地址了

154.223.144.182

13.png14.png15.png16.png17.png

154.223.144.182为windwos系统iis为8.5根据工作经验他是Windows Server 2012,操作系统.

18.png19.png20.png21.png

最后301跳转的域名的都是www.46603.cn

Z-BlogPHP 1.5.2 Zero有一定的漏洞,它涉及到法律我就不分析了.

我用过开源博客Z-BlogPHP 我知道它的后台域名+ /zb_system/login.php

22.png

拿到后台地址,这个人很鸡贼,PHP,NGINX版本号隐藏了,你鸡贼也没关系我对你资产探测.

23.png


看到有180.215.209.169:7777标识(安全入口校验失败)

100%都是宝塔面板,面板默认端口8888他怕被扫改成了7777你以为改了就可以扫不到吗,对于做网络安全的人来说你改了也白改.

24.png

显示的IP地址180.215.209.169是Linux刚刚分析的是154.223.144.182是Windows

为什么是这个样子呢 ?

答案:前身windwos做诱饵提供下载后身做主要业务.

25.png

探测了一下22端口(远程操作) 它是开着的 哈哈哈 这一点只能到这了,爆破22端口只需要2分钟,它涉及到法律我就不分析了.

26.png

222.189.238.246

27.png

www.0514soft.com 解析IP为180.97.148.122

28.png29.png

还有个备案号苏ICP备16016873号-1查下

30.png

此IP下还有其他站点

31.png

剩下的站点我就不分析了…

 

 

pack.dszysoft.com 301跳转到123.56.186.254:12345

33.png

34.png

探测了一下3389端口(远程操作) 它是开着的 哈哈哈 这一点只能到这了,爆破3389端口只需要2分钟,它涉及到法律我就不分析了.

cjlb.cn ip地址为203.107.43.165

35.png

36.png

还有个备案号苏ICP备17029609号-2 查下

37.png

此IP下还有其他站点

38.png

剩下的站点我就不分析了…

接下来我们分析很好奇的文件

http://154.223.144.182/setup_wid_xinsj@foreign.exe

39.png40.png41.png

这个没啥好分析的….就是个恶意软件

 

本样本分析中涉及到的IP

154.223.144.182

180.215.209.169

222.189.238.246

123.56.186.254

180.97.148.122

本样本分析中涉及到的域名

www.cjlb.cn

www.46603.cn

www.0514soft.com

ip地址(5) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
域名(3) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
Hash(1) 检测结果 关联样本 微步标签 免费 全部 < 1/1 >
评论 15
N10th 2020-03-19 11:38:08 回复
求专业设备名,这也太狠了,轻而易举
匿名用户 2020-02-13 13:45:49 回复
大侠,请问资产探测你用那个像放大镜的插件是什么
匿名用户 2020-02-13 16:37:23 回复
规则库.资产扫描及威胁感知
匿名用户 2020-03-18 17:30:30 回复
大侠,请问您这个插件在哪可以下载
匿名用户 2020-02-13 09:41:58 回复
这个厉害
匿名用户 2020-02-13 16:37:46 回复
不厉害
Matr1x 2020-02-11 22:28:18 回复
想知道大侠22端口和3389怎么能在2分钟内爆破啊!
匿名用户 2020-02-11 23:48:18 回复
回复@Matr1x: 对于搞安全的只要运维端口暴露公网...那轻而易举
oooookl 2020-02-12 23:53:22 回复
是root和root吧,如果是强密码,7天都不一定跑得出来
N10th 2020-03-19 11:38:37 回复
求专业设备名,这也太狠了,轻而易举
匿名用户 2020-02-12 23:59:59 回复
回复@oooookl: 我们有专业的设备..
oooookl 2020-02-14 23:20:22 回复
0day ?!! :)
包子老了 2020-02-11 10:25:47 回复
匿名用户 2020-02-10 16:39:08 回复
深挖一下呗。
匿名用户 2020-02-11 23:49:43 回复
深挖看空闲时间吧...最近比较忙 八点起凌晨三点睡...每天有很多事
奖励计划banner
今日推荐