【蜜罐捕获】战鹰网络Windows蜜罐捕获到的安全情报X3

admin · 发表于 2019-4-28 17:09:44

IOC：
183.2.236.123
42.202.33.207

第一个捕获的黑客的入侵方式为HFS低版本提权入侵
HFS的访问IP日志内有此IP的记录

入侵后运行木马 Pkyrorg.exe
木马连接C&C服务器IP：183.2.236.123 端口：3352

另一个黑客也是HFS低版本提权入侵
入侵后创建后门账号 azui$
登录IP为：202.61.84.241

日志里也有此IP的记录

我通过渗透手段获取到此账号密码为 azui1233
切换到此账户后发现桌面有黑客工具

此时s扫描器正在扫描互联网上开放3389端口的服务器

企图通过3389爆破入侵网上的其他服务器

另一个工具是st2-045入侵工具

上述两个工具已全部缴获

最后一个捕获到一个FTP病毒下载站
FTP病毒下载站地址：ftp://42.202.33.207/
账号：123
密码：123

此FTP服务器内的病毒截图

样本文件已上传（解压密码：www.zhanyingwl.com）