【蜜罐捕获】一个具有博彩背景的对外DDoS攻击病毒

admin

IOC：
160.202.171.97
43.226.153.74
159.65.24.133
188.166.175.162
115.152.136.224
www.v25356.club
www.3455.org
bt888.cc

---

（据说此帖配合BGM食用 体验更加喔~）

如果无法播放，请点击此处在新窗口打开

入侵方式：RDP暴破入侵

今天上午我起床后收到了来自蜜罐系统的报警邮件 随后我便进入蜜罐系统后台进行排查
果然！在今天凌晨4时29分左右 蜜罐监测到对外UDP攻击的异常流量！
蜜罐系统内发现异常进程：kwqswu.exe 和一个 svchost.exe 均已连接C&C服务器
（我有一点不是很明白 这个svchost.exe是系统自带的进程文件 通过检查未发现任何问题 会不会是kwqswu.exe劫持了这个进程文件对外发包呢？）






其中DDoS病毒从C&C服务器IP：160.202.171.97 端口：2253 的网络连接中收到攻击指令


攻击目标的IP：115.28.37.139 端口：4000


对目标发送大量无用数据包


之后我按照日常工作流程进入到蜜罐系统内部进行溯源
在今天凌晨4:28 有黑客进入了蜜罐系统进行病毒植入病毒

病毒成功运行创建恶意服务以确保开机自动运行：

恶意服务实锤：


在蜜罐系统内检测到的黑客登录IP为蜜罐系统的子节点IP


再通过子节点的网络连接日志查看真正地黑客IP

......好家伙 这么多IP地址肯定有黑客自己的IP 而且这些IP地址都来者不善 对蜜罐系统进行RDP桌面爆破攻击的才会被蜜罐记录下来

我们再从DDoS病毒自身进行溯源吧
病毒运行后连接C&C服务器IP：160.202.171.97
通过IP反查得到一个域名：bt888.cc


直接访问这个域名会自动跳转到博彩网站：http://www.7777740.com/


再通过域名查询到创建人邮箱：150339291@qq.com



尝试通过QQ直接查询 看看能不能获得什么信息？
不错！这30岁的小伙子直接把自己照片挂在头像上了 现在做博彩的都这么嚣张了吗？
QQ名片截图：


大头照：


再通过微信查询QQ号 发现此人目前住在广东东莞


之后我又从上面的邮箱查到了一个新的域名：www.3455.org


啊这...域名出售中...


得嘞~到这里结束~

综合上述信息：
黑客姓名：华水封
年龄：30岁
住址：广东东莞
QQ号：150339291
从事行业：非法博彩、黑客类DDoS攻击业务

（感冒发展成细菌性肺炎的我在床上写着这份报告听着这BGM边哭边摇QAQ）

病毒样本依然放在下面（解压密码：www.zhanyingwl.com）↓