【蜜罐捕获】战鹰网络Windows蜜罐系统捕捉到一个RDP爆破黑客

admin · 发表于 2019-4-23 15:48:27

IOC：
119.133.252.253
120.230.162.218

入侵方式为：RDP爆破攻击入侵
此黑客首次登录IP为 119.133.252.253（因为此IP定位精度达到1km以上，所以不公布了，以下一个IP的定位为主）

在这之前的日志被黑客清除

清除后注销系统，重新登录
登录后创建带有“$”的隐藏后门账户：xiaoyi$

在这之前，此黑客上传黑客工具到服务器
为了躲避管理员的追查，清理了日志之后还将黑客工具放在C盘下Program Files的xy文件夹内（xiaoyi$=xy）

文件夹内黑客工具的内容（已全部缴获）

为了查看此黑客的具体目的，我通过渗透手段获取到此账户（xiaoyi$）的密码为：520494
切换账户后发现此文件夹内的DUBrute黑客工具正在准备对外进行RDP爆破攻击

之后此黑客断开连接，直到下午1点左右再次登录，IP也变化为 120.230.162.218
网络定位：广东省广州市吉祥路附近（靠近东成镇中心小学）

登录之后此黑客不知为何又断开连接直到刚才（2019年4月23日15:34:33）又一次登录
并且使用s扫描器启动对外SYN扫描，批量扫描互联网开放3389端口的其他服务器
为下一次入侵做准备。
下面是对外SYN扫描时，上层服务器的抓包记录