设为首页收藏本站
战鹰网络安全官方网站
搜索
查看: 1215|回复: 0

【蜜罐捕获】一个Windows蜜罐的捕获引发的逆向渗透

[复制链接]
  • TA的每日心情
    开心
    4 天前
  • 签到天数: 837 天

    [LV.10]以坛为家III

    704

    主题

    270

    回帖

    5911

    鹰币

    管理员

    Rank: 9Rank: 9Rank: 9

    鹰币
    5911
    QQ
    发表于 2021-11-7 18:58:16 | 显示全部楼层 |阅读模式
    IOC:
    118.123.4.93
    bodyres.f3322.net
    153.0.167.248


    入侵方式:RDP爆破入侵
    此黑客入侵后
    从木马下载站 http://118.123.4.93:8081/ 分别下载并运行三个木马
    木马下载站所在服务器的所属公司为:四川微云科技有限公司
    第一个木马运行后请求连接C&C服务器:bodyres.f3322.net 端口:15950
    1网络连接.png

    同时请求连接C&C服务器 118.123.4.93 端口 8001
    1网络连接118.png

    第二个木马运行后请求连接C&C服务器:118.123.4.93 端口:8000
    2网络连接.png

    第三个木马运行后请求连接C&C服务器:118.123.4.93 端口:8000
    3网络连接.png

    第二、三个木马连接同一端口
    可能是黑客将一个端口作为两用
    提高木马利用率

    此后 我反向渗透此服务器
    成功获取此服务器administrator控制权限
    桌面上的黑客抓鸡工具证据截图
    桌面证据.png

    同时提取此黑客的家庭IP:153.0.167.248 端口:61159
    网络定位:海南省三亚市市辖区祥和竹苑小区内
    黑客IP.png

    此黑客登录时的客户端名为:iPhone
    由于我这边属于强制登录此黑客所在的远程桌面会话 所以未截图其客户端名

    木马样本依然放在下面,解压密码为:www.zhanyingwl.com

    病毒样本包.rar

    128.75 KB, 下载次数: 500, 下载积分: 鹰币 -1

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ咨询|Archiver|手机版|小黑屋|战鹰网络安全官方网站 |网站地图

    GMT+8, 2024-3-29 10:37 PM , Processed in 0.116012 second(s), 35 queries .

    战鹰网络技术论坛

    快速回复 返回顶部 返回列表