【蜜罐捕获】蜜罐系统捕获到一个Windows系统的DDoS病毒

admin

IOC：
218.60.67.17
43.227.216.202
124.236.16.242

---

这一周蜜罐风平浪静 静的我都傻了
终于 昨天晚上捕捉到了一个DDoS攻击病毒
入侵方式：RDP爆破入侵
入侵成功后进入系统种植木马
同时连接两个C&C服务器：
第一个C&C服务器IP：218.60.67.14 端口：2553

第二个C&C服务器IP：43.227.216.202 端口：219

我认为第二个服务器是主控服务器 因为在这个病毒中检测到了Parite感染
肯定是这个黑客在使用此类软件的时候没注意查杀检测 导致自己也中了毒
也就是传说中的毒中毒 黑吃黑
我发现此病毒后并没有主动地打草惊蛇 而是看他要干什么
果然 在昨天晚上 蜜罐系统的网络流量忽然异常
大量对外SYN发包 也就判定此病毒已接收C&C服务器的指令对外进行DDoS攻击

攻击目标：124.236.16.242 端口：8800
在抓包的时候捕捉到了一个QQ号：517722242

这个人的QQ昵称是Cloud 翻译过来是云的意思

云也有云服务器等IT名词之称 所以是此人所做的可能性也是八九不离十了
当然 也不排除他人陷害栽赃的可能性
样本放在下面 解压密码：www.zhanyingwl.com