搜索
查看: 5952|回复: 0

不完整的某黑产运行轨迹

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-4-5 17:49:39 | 显示全部楼层 |阅读模式
感谢“安全工作效率提升交流”群各位基友,但是大家精力有限,不是专业的团队。毕竟不可能一个一个域名分析其历史解析ip,再分析ip历史解析的域名,不玩了。。。

起因
今天帮客户搞应急,发现了一个木马, 然后定位到了木马的连接ip,然后威胁情报定位到该ip上绑定了一个3322域名,大家一致认为,“还在用3322上线域名的 一般都是黑客”。
黑客痕迹
ip是61.150.126.61,地址是陕西宝鸡某网吧
0?wx_fmt=png.jpg
3322域名是dos2.f3322.net,大家拼命社工客服想搞到邮箱信息无果(邮箱是49开头的qq邮箱,手机号码是158xxxxx522)。继续定位ip,发现这个ip从16年9月份开始活动,17年3月份此ip仍在活动更新木马,发文章至今ip仍能访问。对ip进行端口扫描,发现开放了hfs,地址是61.150.126.61:8386,上面有大量木马,利用hfs远程命令执行漏洞无果。
0?wx_fmt=png.jpg
0?wx_fmt=png.jpg
根据情报分析,发现 61.150.126.61上面仍绑定了其他域名,分别为liv.t7ux.com,top.t7ux.com,www.t7ux.com,格局大致如下图
0?wx_fmt=png.jpg
根据github定位到top.t7ux.com确实是个c&c上线服务器,地址为[url=]https://gist.github.com/1aN0rmus/f59de12be167536f013461debef5a474[/url],对top.t7ux.com进行分析,发现还绑定了460200301.f3322.net。
继续对top域名进行分析,发现此域名绑定过一下ip:
Date        IP             Address
2015-08-24        222.186.34.91
2016-06-04        107.151.148.195
2016-07-13        61.49.2.120
2016-07-23        211.141.61.155
2016-07-28        103.206.22.237
2016-09-23        222.174.168.234
2016-12-19        61.150.126.61
2017-02-23        42.236.75.123
2017-04-03        118.184.11.93
发现黑客15年就开始发起大规模攻击了。
0?wx_fmt=jpeg.jpg
对绑定过的ip进行分析,发现黑客还有其他拿来上线的服务器,地址为[url=]http://120.210.129.29:5198/[/url]
0?wx_fmt=png.jpg 总结
黑客是个老油条,他的域名whois是假冒的,并且对他所控制的上线肉鸡进行rdp爆破也没猜出密码,黑客使用的ip/域名/c&c服务器如下(部分):
liv.t7ux.com
top.t7ux.com
www.t7ux.com
dos2.f3322.net
61.150.126.61
460200301.f3322.net
[url=]http://120.210.129.29:5198/[/url]
x11.f3322.net
61.150.126.61:8386
222.186.34.91
107.151.148.195
61.49.2.120
211.141.61.155
103.206.22.237
222.174.168.234
61.150.126.61
42.236.75.123
118.184.11.93
下面是他活动过的木马下载地址,甲方可以在日志里查下,看看有没有这些下载记录,因为我发现这些木马是免杀的....
5/64 2017-03-15 23:45:08 [url=]http://61.150.126.61:8386/dh.exe[/url]
6/64 2017-03-15 23:45:08 [url=]http://61.150.126.61:1574/server.exe[/url]
5/64 2017-03-15 23:45:08 [url=]http://61.150.126.61:1574/a55bf4315c8e83f2d9f6b798e7fc7a0f.exe[/url]
5/64 2017-03-14 18:08:30 [url=]http://61.150.126.61:1574/ver.exe[/url]
6/64 2017-03-14 18:08:30 [url=]http://61.150.126.61:1574/Server.exe[/url]
2/64 2017-03-14 02:09:02 [url=]http://61.150.126.61:8386/STAR.dll[/url]
3/68 2017-01-09 03:35:17 [url=]http://61.150.126.61:8386/[/url]
2/68 2016-12-19 16:14:39 [url=]http://61.150.126.61:8386/setup.dl[/url]
3/68 2016-11-27 22:39:33 [url=]http://61.150.126.61:8386/system32.exe[/url]
3/68 2016-11-01 06:03:07 [url=]http://61.150.126.61:8386/NetSyst96.dll[/url]
4/68 2016-10-30 05:50:02 [url=]http://61.150.126.61:8386/NetSyst88.dll[/url]
4/68 2016-10-28 08:04:38 [url=]http://61.150.126.61:8386/3306.exe[/url]
4/68 2016-10-25 21:08:52 [url=]http://61.150.126.61/NetSyst88.dll[/url]
2/68 2016-10-18 02:13:11 [url=]http://61.150.126.61:1574/[/url]
1/68 2016-10-12 18:09:20 [url=]http://dos2.f3322.net/[/url]
5/68 2016-10-12 16:47:19 [url=]http://61.150.126.61/[/url]
4/68 2016-09-28 04:27:56 [url=]http://61.150.126.61/a55bf4315c8e83f2d9f6b798e7fc7a0f.exe[/url]
4/68 2016-09-13 15:41:12 [url=]http://61.150.126.61/ver.exe[/url]
2/68 2016-09-09 15:45:34 [url=]http://61.150.126.61:1574/97.exe[/url]
2/68 2016-09-08 15:10:13 [url=]http://61.150.126.61/97.exe[/url]
5/68 2016-09-02 23:14:36 [url=]http://61.150.126.61/server.exe/[/url]
3/68 2016-09-02 16:13:40 [url=]http://61.150.126.61/server.exe[/url]
6/64 2017-03-05 18:27:18 [url=]http://222.186.34.91/cn1.exe[/url]
6/64 2017-03-05 18:26:31 [url=]http://222.186.34.91/cn.exe[/url]
5/64 2017-02-20 19:33:45 [url=]http://222.186.34.91:6513/%E5%B0%8F%E7%BB%84%E5%86%85%E9%83%A8%E4%B8%93%E7%94%A825000.rar[/url]
4/64 2017-02-14 13:34:22 [url=]http://222.186.34.91:6513/Drkv/[/url]
5/64 2017-02-14 13:34:18 [url=]http://222.186.34.91:6513/sqlrer/[/url]
5/64 2017-02-14 13:34:14 [url=]http://222.186.34.91:6513/java/[/url]
4/64 2017-02-11 09:26:03 [url=]http://222.186.34.91:6513/Drkv[/url]
4/64 2017-02-11 09:24:45 [url=]http://222.186.34.91:6513/squld[/url]
5/64 2017-02-11 09:22:42 [url=]http://222.186.34.91:6513/sqlrer[/url]
6/64 2017-02-11 09:18:17 [url=]http://222.186.34.91:6513/java[/url]
5/64 2017-02-11 08:19:09 [url=]http://222.186.34.91:6513/cn1.exe[/url]
4/64 2017-02-10 08:44:44 [url=]http://222.186.34.91/[/url]
5/64 2017-02-01 10:57:53 [url=]http://222.186.34.91:6513/trustr[/url]
4/68 2016-11-04 08:19:01 [url=]http://222.186.34.91/rr11/[/url]
4/68 2016-04-02 19:10:32 [url=]http://x11.f3322.net/[/url]
4/67 2016-03-08 10:57:29 [url=]http://222.186.34.91:8520/rr11/[/url]
4/67 2016-03-05 18:33:51 [url=]http://222.186.34.91:8520/rr11[/url]
4/67 2016-03-04 10:09:48 [url=]http://222.186.34.91:8520/4848.exe[/url]
5/66 2015-12-22 05:10:15 [url=]http://222.186.34.91/03618.log[/url]
4/66 2015-12-21 21:10:41 [url=]http://222.186.34.91:6513/03618.log[/url]
1/66 2015-11-11 14:19:15 [url=]http://www.t7ux.com/[/url]
3/63 2015-06-03 19:14:51 [url=]http://222.186.34.91:6513/[/url]
1/63 2015-05-28 10:57:22 [url=]http://222.186.34.91:6513/cn.exe[/url]
1/63 2015-05-28 10:25:51 [url=]http://222.186.34.91:6513/Trustr[/url]
1/63 2015-05-28 10:22:20 [url=]http://222.186.34.91:6513/rootkit[/url]
1/63 2015-05-28 10:20:47 [url=]http://222.186.34.91:6513/Killbash.x[/url]
7/64 2017-03-15 23:41:15 [url=]http://120.210.129.29:5198/cnc.exe[/url]
7/64 2017-03-15 23:41:14 [url=]http://120.210.129.29:5198/winappes.exe[/url]
2/64 2017-03-13 01:56:20 [url=]http://120.210.129.29:5198/back.pl[/url]
2/64 2017-02-16 13:30:22 [url=]http://liu.t7ux.com/[/url]
2/68 2017-01-13 17:48:35 [url=]http://120.210.129.29/[/url]
5/68 2017-01-13 12:38:02 [url=]http://120.210.129.29/cnc.exe[/url]
2/68 2017-01-07 12:35:03 [url=]http://120.210.129.29:5198/[/url]
2/68 2017-01-05 17:01:21 [url=]http://120.210.129.29/cn.exe[/url]
2/68 2017-01-05 16:33:25 [url=]http://120.210.129.29:5198/cn.exe[/url]
6/64 2017-03-05 18:27:18 [url=]http://222.186.34.91/cn1.exe[/url]
6/64 2017-03-05 18:26:31 [url=]http://222.186.34.91/cn.exe[/url]
5/64 2017-02-20 19:33:45 [url=]http://222.186.34.91:6513/%E5%B0%8F%E7%BB%84%E5%86%85%E9%83%A8%E4%B8%93%E7%94%A825000.rar[/url]
4/64 2017-02-14 13:34:22 [url=]http://222.186.34.91:6513/Drkv/[/url]
5/64 2017-02-14 13:34:18 [url=]http://222.186.34.91:6513/sqlrer/[/url]
5/64 2017-02-14 13:34:14 [url=]http://222.186.34.91:6513/java/[/url]
4/64 2017-02-11 09:26:03 [url=]http://222.186.34.91:6513/Drkv[/url]
4/64 2017-02-11 09:24:45 [url=]http://222.186.34.91:6513/squld[/url]
5/64 2017-02-11 09:22:42 [url=]http://222.186.34.91:6513/sqlrer[/url]
6/64 2017-02-11 09:18:17 [url=]http://222.186.34.91:6513/java[/url]
5/64 2017-02-11 08:19:09 [url=]http://222.186.34.91:6513/cn1.exe[/url]
4/64 2017-02-10 08:44:44 [url=]http://222.186.34.91/[/url]
5/64 2017-02-01 10:57:53 [url=]http://222.186.34.91:6513/trustr[/url]
4/68 2016-11-04 08:19:01 [url=]http://222.186.34.91/rr11/[/url]
4/68 2016-04-02 19:10:32 [url=]http://x11.f3322.net/[/url]
4/67 2016-03-08 10:57:29 [url=]http://222.186.34.91:8520/rr11/[/url]
4/67 2016-03-05 18:33:51 [url=]http://222.186.34.91:8520/rr11[/url]
4/67 2016-03-04 10:09:48 [url=]http://222.186.34.91:8520/4848.exe[/url]
5/66 2015-12-22 05:10:15 [url=]http://222.186.34.91/03618.log[/url]
4/66 2015-12-21 21:10:41 [url=]http://222.186.34.91:6513/03618.log[/url]
1/66 2015-11-11 14:19:15 [url=]http://www.t7ux.com/[/url]
3/63 2015-06-03 19:14:51 [url=]http://222.186.34.91:6513/[/url]
1/63 2015-05-28 10:57:22 [url=]http://222.186.34.91:6513/cn.exe[/url]
1/63 2015-05-28 10:25:51 [url=]http://222.186.34.91:6513/Trustr[/url]
1/63 2015-05-28 10:22:20 [url=]http://222.186.34.91:6513/rootkit[/url]
1/63 2015-05-28 10:20:47 [url=]http://222.186.34.91:6513/Killbash.x[/url]
3/64 2017-03-31 06:14:41 [url=]http://107.151.148.195/ms.exe[/url]
5/68 2016-08-25 16:17:51 [url=]http://107.151.148.195/server.exe[/url]
4/67 2016-05-30 05:33:34 [url=]http://107.151.148.195/[/url]
1/67 2016-05-10 17:01:31 [url=]http://top.t7ux.com/[/url]

过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表