【蜜罐捕获】Windows系统下捕捉到的一个黑客和四个远控病毒

admin · 发表于 2019-7-16 13:55:59

IOC：
198.251.80.253
117.95.79.30
219.152.216.131

入侵方式为：RDP爆破入侵
此黑客登录后修改了Administrator账号密码
幸好我有别的手段这才改了回来
登录后发现桌面有个直连到我的文档的快捷方式
点开之后发现了如下图所示的黑客软件（已全部缴获）

之后查看日志却发现已被清除

但是他忘了断开远程桌面连接也会有日志记录

由此获得此黑客IP：219.152.216.131
网络定位：重庆市梁平区啄子岩公园东南350米处
查看进程发现一个可连接和一个不可连接的C&C服务器
可连接C&C服务器IP：198.251.80.253 端口：19791

不可连接的C&C服务器IP：117.95.79.30 端口：8080

附件里还有另外两个病毒是我一并捕获的但是由于之前的日志被清除所以无法获得黑客IP
但是病毒样本还是有的
感兴趣的朋友可以直接下载