【严重】【蜜罐捕获】Windows蜜罐捕获的4个木马和3个黑客

admin · 发表于 2019-7-7 15:11:43

IOC：
198.251.80.253
119.90.132.208
219.152.217.135
42.235.129.168
116.25.119.156

下列入侵方式均为：RDP爆破入侵
这两天忙于MC服务器，所以没时间看蜜罐
今天一看蜜罐，好嘛，收获不少
先是有黑客登录后，使用s扫描器对外扫9200端口
然后还启动了DUBrute

我不明白他扫9200端口为什么要启动RDP的爆破工具？！

之后看了下他的目录，扫描器，爆破工具（wdnmd还tm有Srv感染）

再看了一下网络情况，果然有木马连接：
C&C服务器IP：198.251.80.253 端口：19791

还有个连不上的木马连接：
C&C服务器IP：119.90.132.208 端口：2012

我查了一下这个人的登录IP，发现日志已经被清除了

但是他忘了一点，就是断开连接也会有日志记录
由此获得此人IP：219.152.217.135
网络定位：重庆市梁平区云复路西北200米

但是又获得了另一个黑客的IP：42.235.129.168
网络定位：河南省偃师市伊洛路北250米

下面这个黑客问题就很大了
首先登录系统，种植第一个远控木马：
C&C服务器IP：116.25.119.156 端口：2019

然后种植第二个远控木马（也有可能不是种植木马，而是感染？）：
C&C服务器IP：116.25.119.156 端口：8000

当我登录到系统内，连接到他的会话连接后
系统就自动重启了
然后就卡死，卡在这个黑色的界面上再也没动

我重置蜜罐后，此人以极快的速度连接上
重复之前的动作
之后我感觉此事必有蹊跷
我将蜜罐关闭后，通过网络抓包发现
此IP在疯狂发送SYN请求

启动后又是立刻尝试登录

所以可以断定这是通过软件进行的自动化种马
这么高的效率注定已经有大量带有弱口令漏洞的服务器惨遭毒手
同时有破坏系统，修改管理员账号密码等恶意行为
所以建议有条件的机主除了检查自己的服务器密码是否有弱口令漏洞之外
还要将此IP 116.25.119.156 加入入站黑名单
防止被入侵