【蜜罐捕获】Win蜜罐被攻陷后的反向入侵

admin

IOC：
192.74.225.138
192.74.225.141
223.198.129.86

---

入侵方式：RDP爆破攻击

昨天日常检查蜜罐系统
发现一个远控木马的连接
远控木马连接到C&C服务器：192.74.225.138 端口：6520
反向查到域名：1433.skclub.tk

通过追踪进程找到了木马本体


再通过我自己给蜜罐创建的合法网络远控发现此木马是通过HTTP下载的
木马下载站网址：http://192.74.225.141:6698/svchost.exe 和 http://192.74.225.141:6698/1433.exe


用自己的浏览器打开一看 嗯 抓鸡黑阔 HFS大法好


原本想通过老方法：系统日志 来查看黑客的登录IP
但是发现日志被清了


之后我通过某些“肮脏”的手段反向入侵了此服务器


好家伙抓鸡黑客果然“全能” 什么1433 3389 扫描器 全都有
对全球互联网安全的危害极大！
全选 删除！
搞定！


话说这黑客自己的抓鸡服务器 不至于每次退出都手动清理日志吧？！
之后我通过在这台抓鸡服务器上查到了黑客的家庭IP：223.198.129.86


网络定位：海南省海口市秀英区儒冲村西南186米

好了 删除完了 断开连接吧~
等等 这样好像也不行啊 我这不清理日志 万一这大黑阔一生气黑了我家网怎么办？（手动狗头）
装上我用于蜜罐系统的合法远控 直接毁灭硬盘！
是否毁灭硬盘？是！

咔嚓！


再试试能不能连接了？

GG~

不过有一点很可惜 这次反向入侵只拿下了他的扫爆服务器 未能拿下他的远控服务器
就这样吧 让他知道：做人老实点！出来混 迟早是要还的！

木马样本依然放在下面（解压密码：www.zhanyingwl.com）