【蜜罐捕获】一个通过HFS低版本提权漏洞进行传播的木马

admin · 发表于 2021-5-17 16:48:38

IOC：
171.34.210.132
150.138.82.203

入侵方式：HFS低版本提权入侵

蜜罐系统接收到来自其他节点的URL请求
初步判定为黑客使用自己的电脑进行服务器版本探测

随后我方进入节点服务器的后台排查异常的网络数据包
果然排查到IP：171.34.210.132 端口：10857 的异常网络TCP请求数据包

之后紧接着排查到该IP：171.34.210.132 端口：2760 的异常HTTP请求数据包

（这两张截图是之后截的并且屏蔽掉了一个没用的数据包使其连贯）

之后使用病毒下载站服务器IP：150.138.82.203 端口：61199
构造恶意URL请求到蜜罐服务器创建http.vbs文件以下载运行恶意exe文件
之后根据IP反向查询到此服务器是北京迈杰博科技有限公司所用的服务器所以不排除此服务器是合法公司服务器被入侵后被黑客用来做木马下载站和非法远程控制（C&C服务器IP：150.138.82.203 端口：6332）

主蜜罐节点截图

节点服务器截图

随后追踪到病毒下载站：http://150.138.82.203:2323/
又是一个使用HFS抓鸡的大黑阔......

171.34.210.132 网络定位：江西省南昌市青山湖区晶帝商务大酒店内泰明豪轩附近49米
150.138.82.203 网络定位：山东省泰安市泰山区北上高新家园38号楼东56米

截止发稿前根据木马下载站自带的统计数据显示此木马已被下载了29次属于刚起步的木马下载站我方建议相关部门尽快处理

木马样本和vbs样本打成压缩包放在下面（解压密码：www.zhanyingwl.com）↓