【蜜罐捕获】一个对外DDoS攻击很活跃的C&C服务器

admin · 发表于 2021-3-28 00:33:33

IOC：
172.83.153.134

入侵方式：RDP爆破入侵
这两天刚开了新的蜜罐系统
部署上自写的流量监控
以为得过几天才能有收获
但是今天晚上我的邮箱突然就开始疯狂滴滴滴报警
有攻击！
果然！

蜜罐系统捕获到一个连接到美国西雅图的C&C服务器
IP为：172.83.153.134 端口：172
此黑客十分狡猾每次只有发起攻击的时候才启动远控端否则就一直关闭
企图以此来迷惑网安人员让其觉得此C&C服务器已凉凉

自此黑客在蜜罐系统内安装运行病毒后，多次对外发起DDoS攻击
此类控制端对肉鸡发送的攻击目标信息均未进行加密处理，可以直接看到
1.目标IP：23.224.244.72 端口：80

2.目标IP：34.92.11.87 端口：80

3.目标IP：35.200.145.98 端口：80

4.目标IP：103.91.210.5 端口：80

5.目标IP：193.200.134.111 端口：80

6.目标IP：27.221.75.84 端口：80

样本文件放到下面，解压密码依然为：www.zhanyingwl.com

admin · 发表于 2021-4-1 14:56:42

2021年4月1日 14:35:28 跟进：

终于在今天抓到了非法攻击的现行：
网络成功连接到C&C服务器：

同时此黑客正在对网站 https://www.yx1000uc.com/ 下的服务器IP：43.227.196.189 端口：80 进行TCP/SYN Flood攻击
不过此网站服务器是高防BGP服务器黑客的攻击并未起效
下图为网站首页截图

网站对应的服务器IP地址

下图为DDoS被控端接收到攻击请求

进行TCP/SYN Flood攻击

截止发稿前我们仍未取得和被攻击网站客服的联系