【蜜罐捕获】一个Windows下的非法远控木马

admin

IOC：
27.124.30.20
www.vipzq.buzz

---

入侵方式：RDP爆破入侵

黑客登录后通过远程桌面上传并运行非法远控木马：Terms.EXE.exe


由于木马运行后会移动自身 所以我溯源到木马运行后的目录下找到了其本体


远控木马启动后连接C&C服务器：27.124.30.20 端口：9586
通过IP反查到域名为：www.vipzq.buzz


原本以为一个简简单单的RDP爆破 我通过日志就能查到黑客的IP 但是发现日志已被清理


根据上述截图的创建时间 我打开了蜜罐系统外部的网络流量监听器的历史记录


在海量的数据包内跟踪到C&C服务器的HFS病毒下载站：http://27.124.30.20:5170/
通过HFS病毒下载站自带的统计来看 预计已有500+台服务器被黑客入侵并且种下了此非法远控木马
NetSyst96.dl
嗯...大灰狼远控V8.96的既视感...


原本打算再通过历史数据包查看黑客IP 但是发现这个黑客来自于另一个蜜罐节点 而且那个蜜罐节点部署的网络流量监听器居然早就已经崩溃了...所以这次未能捕获到黑客自身的IP...

远控木马样本依然放在下面（解压密码：www.zhanyingwl.com）↓