【蜜罐捕获】捕捉到一个Windows下的远控病毒和黑客

admin

IOC：
125.87.42.227
103.17.117.235

---

入侵方式：RDP爆破攻击
黑客登录IP：125.87.42.227

网络定位：重庆市南泉正街北25米
登录后先上传并运行远控木马 svchsot.exe

远控病毒网络连接：103.17.117.235 端口：2012

之后创建后门账户 admin

通过永硕网盘下载某个工具（链接已失效）

我怀疑是在此之后从C盘内找到的 冰点V4.3xw 服务器版.zip
但是链接是rar后缀名，这个是zip
“我怀疑他在搞破坏 但是我没有充足的证据”

同时此黑客还使用了反侦察手段
1.禁用任务管理器

2.禁用注册表

3.禁用Win+R

之后进行病毒检测
检测到此病毒连接的C&C服务器域名为：q979421657.oicp.net 和 q929908755.oicp.net
此处发现此黑客的两个QQ账号第一个QQ号涉及大量黑产行为

第二个QQ号表面是治病

但是发现此QQ号上的网址 www.6611880.win 涉及大量政治反党内容

最后获得此黑客的个人信息：
姓名：李常君
联系电话：0745-6611880
QQ：929908755
工作地址：湖南省芷江同族自治县新店坪镇红花园桥工队路口上走250米处
家庭住址：重庆市南泉正街北25米
同事电话（无辜躺枪？）：15111544590

样本文件依然放在下面（还有个由于上传大小限制，所以请直接点我下载，解压密码：www.zhanyingwl.com）