(11)本次等待共获取到144条webshell访问记录,主要的访问IP地址如下:
IP地址 归属地
149.129.98.81 香港 阿里云
23.223.201.26 美国乔治亚州亚特兰大
72.21.81.189 美国 加利福尼亚
(12)此外我还注意到网站的根目录文件夹下方被上传了远程木马病毒(方便黑客后期长时间维持权限访问)如下图:
那么接下来就是进行给黑客入侵画像:
(1)Windows7 64bit System 虚拟机样本未运行初始化状态
(2)执行cd.exe程序后本地端口49189端口被占用,链接的外部C&C的上线地址:114.67.65.156:8081
(3)查壳:
UPX压缩壳使用C++编写的win32木马程序
火绒剑分析:(1)运行后会删除自身文件(cd.exe)并且会复制自身到C:Windows下方
C:Windowssystem32cmd.exe” /c del C:UsersADMINI~1Desktopcd.exe > null
删除母体
写入木马文件到C:Windows目录下
(2)注册行为:修改了以下注册表以此降低Internet安全设置。
(3)向网关地址发送数据包:
腾讯安全御见威胁情报中心撰写了的分析文章报告
(4)与114.67.65.156:8081C&C上线服务器地址建立TCP通信链接
114.67.65.156主机3389端口开放(Windows主机无疑)
(5)开启了web服务80端口访问IP发现有一个网站
(6)发现是一个做SEO的泛微目录的站点,留意到网站上面留下了这个站长的微信二维码