【蜜罐捕获】对接上次的情报内容 - 又一个对外DDoS攻击的...

admin

对接情报链接：http://www.zhanyingwl.com/thread-864-1-1.html

由于上次某些原因没有捕捉到攻击者的IP

但是今天！终于捕捉到了！

大晚上的，手机突然疯狂报警


登录到蜜罐系统后台进行溯源

---

入侵方式：RDP爆破攻击

IOC：
222.186.151.158
218.92.227.186

---

病毒收到C&C服务器发来的攻击请求

目标IP：81.16.137.252
端口：80
随后发起大量SYN Flood攻击


根据C&C服务器的IP地址


在蜜罐系统内追踪到病毒进程


再根据病毒进程追踪到病毒本体和植入病毒的时间

2021年5月4日 晚上9点14分15秒

再根据植入病毒的时间 查看登录日志
追踪到黑客IP地址：218.92.227.186

本次黑客入侵分为三步
1.通过远程桌面爆破成功登录




2.登录成功后通过远程桌面复制病毒文件到系统内运行 病毒程序运行成功后会创建一个名为 Microsoft .Net Framework COM+ Support 的服务




3.黑客确定成功运行后断开远程桌面连接


根据上图的服务名 确认 Microsoft .Net Framework COM+ Support 这个服务为病毒所创建 防止误伤


对黑客的IP地址：218.92.227.186 进行网络定位

得到两个定位：
1.厦门市东坪山路旁的天泽超市内
2.江苏省盐城市迎宾南路花园小区5栋旁男左女右概念主题宿舍附近

根据两次的病毒样本对比 大概可以确定是同一种病毒：鬼影病毒

两次的病毒样本属性对比：


两次的病毒样本详细信息对比：


病毒样本依然放在下面↓