【蜜罐捕获】一个Windows蜜罐的捕获引发的逆向渗透

admin · 发表于 2021-11-7 18:58:16

IOC：
118.123.4.93
bodyres.f3322.net
153.0.167.248

入侵方式：RDP爆破入侵
此黑客入侵后
从木马下载站 http://118.123.4.93:8081/ 分别下载并运行三个木马
木马下载站所在服务器的所属公司为：四川微云科技有限公司
第一个木马运行后请求连接C&C服务器：bodyres.f3322.net 端口：15950
1网络连接.png

同时请求连接C&C服务器 118.123.4.93 端口 8001
1网络连接118.png

第二个木马运行后请求连接C&C服务器：118.123.4.93 端口：8000
2网络连接.png

第三个木马运行后请求连接C&C服务器：118.123.4.93 端口：8000
3网络连接.png

第二、三个木马连接同一端口
可能是黑客将一个端口作为两用
提高木马利用率

此后我反向渗透此服务器
成功获取此服务器administrator控制权限
桌面上的黑客抓鸡工具证据截图
桌面证据.png

同时提取此黑客的家庭IP：153.0.167.248 端口：61159
网络定位：海南省三亚市市辖区祥和竹苑小区内
黑客IP.png

此黑客登录时的客户端名为：iPhone
由于我这边属于强制登录此黑客所在的远程桌面会话所以未截图其客户端名

木马样本依然放在下面，解压密码为：www.zhanyingwl.com