【蜜罐捕获】3个DDoS木马+1个远控木马+1个挖矿木马+1个黑客

admin

IOC：
47.102.251.102
140.143.35.89
192.3.131.23
119.3.2.156
125.46.63.89

---

此次捕获活动的攻击来源均来自SSH弱口令爆破攻击、RDP弱口令爆破攻击

4个DDoS病毒：
1.病毒进程名：httpdz
C&C服务器：140.143.35.89 端口：65283





2.病毒进程名：wget、bash、ftp
C&C服务器：192.3.131.23 端口：51351





3.病毒进程名：appsetting
C&C服务器：119.3.2.156 端口：6681





1个远程控制病毒：
1.病毒进程名：BRemotes.exe
C&C服务器：125.46.63.89 端口：9990


1个挖矿木马：
1.病毒进程名：kiht
C&C服务器：47.102.251.102 端口：13531

挖矿导致CPU满负荷运行


1个黑客IP
1.此次捕捉到的黑客IP：14.111.55.46
经过鉴定，此黑客和这篇情报里的黑客为同一人
情报链接：http://www.zhanyingwl.com/thread-599-1-1.html
网络定位依然在重庆市杏园小区内
此人通过远程控制木马添加账户：520
然后使用 520 这个账户登录

再上传s扫描器企图对外网进行扫描



扫描器自带的批处理文件的内容截图


木马样本文件的解压密码均为：www.zhanyingwl.com