【蜜罐捕获】Windows蜜罐捕获的5个黑客和其他（因为有点多）

admin

IOC：
211.82.32.61
223.91.133.5
223.74.199.233
104.233.201.69
183.197.26.43
42.235.133.193
111.6.76.54
45.199.13.20
d.lengyue.win

---

入侵方式：RDP爆破入侵、HFS低版本提权攻击
实在是太多了，直接凌乱......
我尽量将有可能有关系的内容排在一起吧，内容真的是太多了......

---

第一个：RDP爆破入侵后企图使用本系统继续对外入侵攻击
此黑客通过RDP爆破入侵后
上传了一个远程控制软件
企图通过本机非法控制其他终端（woc还有Srv感染）
但是他好像并没有发现蜜罐系统是通过NAT技术建立起来的
所以他的远控无任何效果
工具还被我缴获了

他一脸懵逼的怀疑远程控制端的IP是不是打错了
所以还去百度查询了本机IP
黑客：？？？

---

第二个问题就有点严重了
原因是我不止一次的捕捉到此黑客
此黑客所采用的的入侵方式：HFS低版本提权漏洞（由于代码截图含有攻击性内容，所以我做了马赛克处理）

由此可见此黑客通过HFS低版本提权漏洞创建了后门账户
账户名：lengyue
密码：Coldsky123
黑客IP1：211.82.32.61
黑客IP2：183.197.26.43
网络定位：河北省邢台市巨鹿县欧特朗照明内

还有个连不上的服务器：d.lengyue.win
C盘下有一个1.txt
内容如下

感觉这99%的可能是FTP病毒服务器的内容
然后P都没干就退出了

---

第三个黑客的入侵方式：RDP爆破入侵
黑客IP：223.74.199.233
网络定位：广东省惠州市惠东县海滨花园东50米

入侵后创建后门账户：admin

之后通过网址下载远控病毒：Server.exe
HFS病毒站下载地址：http://45.199.13.20:8080/

通过浏览器打开后的界面

---

第四个黑客的入侵方式：RDP爆破入侵
登录后通过HFS病毒下载站下载运行病毒：lh.exe

HFS病毒下载站：http://111.6.76.54:959/
通过浏览器打开后的界面

---

还有个登录之后也是P都没干就退出的黑客
登录IP：104.233.201.69
网络定位失败emmm......

---

最后曝光另外两个黑客
IP1：223.91.133.5
网络定位：河南省漯河市八一路南30米

IP3：42.235.133.193
网络定位：河南省偃师市偃师市实验小学东南20米

---

顺便问下，广东为啥这么热         闹...？（黑人问号）

---

样本文件压缩包解压密码：www.zhanyingwl.com