不完整的某黑产运行轨迹

admin · 发表于 2017-4-5 17:49:39

感谢“安全工作效率提升交流”群各位基友，但是大家精力有限，不是专业的团队。毕竟不可能一个一个域名分析其历史解析ip，再分析ip历史解析的域名，不玩了。。。

起因
今天帮客户搞应急，发现了一个木马，然后定位到了木马的连接ip，然后威胁情报定位到该ip上绑定了一个3322域名，大家一致认为，“还在用3322上线域名的一般都是黑客”。
黑客痕迹
ip是61.150.126.61，地址是陕西宝鸡某网吧
0?wx_fmt=png.jpg

3322域名是dos2.f3322.net，大家拼命社工客服想搞到邮箱信息无果（邮箱是49开头的qq邮箱，手机号码是158xxxxx522）。继续定位ip，发现这个ip从16年9月份开始活动，17年3月份此ip仍在活动更新木马，发文章至今ip仍能访问。对ip进行端口扫描，发现开放了hfs，地址是61.150.126.61:8386，上面有大量木马，利用hfs远程命令执行漏洞无果。
0?wx_fmt=png.jpg

根据情报分析，发现 61.150.126.61上面仍绑定了其他域名，分别为liv.t7ux.com，top.t7ux.com，www.t7ux.com，格局大致如下图
0?wx_fmt=png.jpg

根据github定位到top.t7ux.com确实是个c&c上线服务器，地址为[url=]https://gist.github.com/1aN0rmus/f59de12be167536f013461debef5a474[/url]，对top.t7ux.com进行分析，发现还绑定了460200301.f3322.net。
继续对top域名进行分析，发现此域名绑定过一下ip：

Date IP Address

2015-08-24 222.186.34.91

2016-06-04 107.151.148.195

2016-07-13 61.49.2.120

2016-07-23 211.141.61.155

2016-07-28 103.206.22.237

2016-09-23 222.174.168.234

2016-12-19 61.150.126.61

2017-02-23 42.236.75.123

2017-04-03 118.184.11.93
发现黑客15年就开始发起大规模攻击了。
0?wx_fmt=jpeg.jpg

对绑定过的ip进行分析，发现黑客还有其他拿来上线的服务器，地址为[url=]http://120.210.129.29:5198/[/url]
0?wx_fmt=png.jpg

总结
黑客是个老油条，他的域名whois是假冒的，并且对他所控制的上线肉鸡进行rdp爆破也没猜出密码，黑客使用的ip/域名/c&c服务器如下（部分）：

liv.t7ux.com
top.t7ux.com

www.t7ux.com
dos2.f3322.net

61.150.126.61
460200301.f3322.net
[url=]http://120.210.129.29:5198/[/url]
x11.f3322.net
61.150.126.61:8386

222.186.34.91

107.151.148.195

61.49.2.120

211.141.61.155

103.206.22.237

222.174.168.234

61.150.126.61

42.236.75.123

118.184.11.93
下面是他活动过的木马下载地址，甲方可以在日志里查下，看看有没有这些下载记录，因为我发现这些木马是免杀的....
5/64 2017-03-15 23:45:08 [url=]http://61.150.126.61:8386/dh.exe[/url]

6/64 2017-03-15 23:45:08 [url=]http://61.150.126.61:1574/server.exe[/url]

5/64 2017-03-15 23:45:08 [url=]http://61.150.126.61:1574/a55bf4315c8e83f2d9f6b798e7fc7a0f.exe[/url]

5/64 2017-03-14 18:08:30 [url=]http://61.150.126.61:1574/ver.exe[/url]

6/64 2017-03-14 18:08:30 [url=]http://61.150.126.61:1574/Server.exe[/url]

2/64 2017-03-14 02:09:02 [url=]http://61.150.126.61:8386/STAR.dll[/url]

3/68 2017-01-09 03:35:17 [url=]http://61.150.126.61:8386/[/url]

2/68 2016-12-19 16:14:39 [url=]http://61.150.126.61:8386/setup.dl[/url]

3/68 2016-11-27 22:39:33 [url=]http://61.150.126.61:8386/system32.exe[/url]

3/68 2016-11-01 06:03:07 [url=]http://61.150.126.61:8386/NetSyst96.dll[/url]

4/68 2016-10-30 05:50:02 [url=]http://61.150.126.61:8386/NetSyst88.dll[/url]

4/68 2016-10-28 08:04:38 [url=]http://61.150.126.61:8386/3306.exe[/url]

4/68 2016-10-25 21:08:52 [url=]http://61.150.126.61/NetSyst88.dll[/url]

2/68 2016-10-18 02:13:11 [url=]http://61.150.126.61:1574/[/url]

1/68 2016-10-12 18:09:20 [url=]http://dos2.f3322.net/[/url]

5/68 2016-10-12 16:47:19 [url=]http://61.150.126.61/[/url]

4/68 2016-09-28 04:27:56 [url=]http://61.150.126.61/a55bf4315c8e83f2d9f6b798e7fc7a0f.exe[/url]

4/68 2016-09-13 15:41:12 [url=]http://61.150.126.61/ver.exe[/url]

2/68 2016-09-09 15:45:34 [url=]http://61.150.126.61:1574/97.exe[/url]

2/68 2016-09-08 15:10:13 [url=]http://61.150.126.61/97.exe[/url]

5/68 2016-09-02 23:14:36 [url=]http://61.150.126.61/server.exe/[/url]

3/68 2016-09-02 16:13:40 [url=]http://61.150.126.61/server.exe[/url]

6/64 2017-03-05 18:27:18 [url=]http://222.186.34.91/cn1.exe[/url]

6/64 2017-03-05 18:26:31 [url=]http://222.186.34.91/cn.exe[/url]

5/64 2017-02-20 19:33:45 [url=]http://222.186.34.91:6513/%E5%B0%8F%E7%BB%84%E5%86%85%E9%83%A8%E4%B8%93%E7%94%A825000.rar[/url]

4/64 2017-02-14 13:34:22 [url=]http://222.186.34.91:6513/Drkv/[/url]

5/64 2017-02-14 13:34:18 [url=]http://222.186.34.91:6513/sqlrer/[/url]

5/64 2017-02-14 13:34:14 [url=]http://222.186.34.91:6513/java/[/url]

4/64 2017-02-11 09:26:03 [url=]http://222.186.34.91:6513/Drkv[/url]

4/64 2017-02-11 09:24:45 [url=]http://222.186.34.91:6513/squld[/url]

5/64 2017-02-11 09:22:42 [url=]http://222.186.34.91:6513/sqlrer[/url]

6/64 2017-02-11 09:18:17 [url=]http://222.186.34.91:6513/java[/url]

5/64 2017-02-11 08:19:09 [url=]http://222.186.34.91:6513/cn1.exe[/url]

4/64 2017-02-10 08:44:44 [url=]http://222.186.34.91/[/url]

5/64 2017-02-01 10:57:53 [url=]http://222.186.34.91:6513/trustr[/url]

4/68 2016-11-04 08:19:01 [url=]http://222.186.34.91/rr11/[/url]

4/68 2016-04-02 19:10:32 [url=]http://x11.f3322.net/[/url]

4/67 2016-03-08 10:57:29 [url=]http://222.186.34.91:8520/rr11/[/url]

4/67 2016-03-05 18:33:51 [url=]http://222.186.34.91:8520/rr11[/url]

4/67 2016-03-04 10:09:48 [url=]http://222.186.34.91:8520/4848.exe[/url]

5/66 2015-12-22 05:10:15 [url=]http://222.186.34.91/03618.log[/url]

4/66 2015-12-21 21:10:41 [url=]http://222.186.34.91:6513/03618.log[/url]

1/66 2015-11-11 14:19:15 [url=]http://www.t7ux.com/[/url]

3/63 2015-06-03 19:14:51 [url=]http://222.186.34.91:6513/[/url]

1/63 2015-05-28 10:57:22 [url=]http://222.186.34.91:6513/cn.exe[/url]

1/63 2015-05-28 10:25:51 [url=]http://222.186.34.91:6513/Trustr[/url]

1/63 2015-05-28 10:22:20 [url=]http://222.186.34.91:6513/rootkit[/url]

1/63 2015-05-28 10:20:47 [url=]http://222.186.34.91:6513/Killbash.x[/url]

7/64 2017-03-15 23:41:15 [url=]http://120.210.129.29:5198/cnc.exe[/url]

7/64 2017-03-15 23:41:14 [url=]http://120.210.129.29:5198/winappes.exe[/url]

2/64 2017-03-13 01:56:20 [url=]http://120.210.129.29:5198/back.pl[/url]

2/64 2017-02-16 13:30:22 [url=]http://liu.t7ux.com/[/url]

2/68 2017-01-13 17:48:35 [url=]http://120.210.129.29/[/url]

5/68 2017-01-13 12:38:02 [url=]http://120.210.129.29/cnc.exe[/url]

2/68 2017-01-07 12:35:03 [url=]http://120.210.129.29:5198/[/url]

2/68 2017-01-05 17:01:21 [url=]http://120.210.129.29/cn.exe[/url]

2/68 2017-01-05 16:33:25 [url=]http://120.210.129.29:5198/cn.exe[/url]