phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析(5)

(12)此外我还注意到网站的根目录文件夹下方被上传了远程木马病毒(方便黑客后期长时间维持权限访问)如下图：

那么接下来就是进行给黑客入侵画像：
(1)Windows7 64bit System 虚拟机样本未运行初始化状态

(2)执行cd.exe程序后本地端口49189端口被占用，链接的外部C&C的上线地址:114.67.65.156:8081

(3)查壳:

UPX压缩壳使用C++编写的win32木马程序

(1)运行后会删除自身文件(cd.exe)并且会复制自身到C:Windows下方

C:Windowssystem32cmd.exe” /c del C:UsersADMINI~1Desktopcd.exe > null

删除母体

写入木马文件到C:Windows目录下

(2)注册行为:修改了以下注册表以此降低Internet安全设置。

(3)向网关地址发送数据包：

腾讯安全御见威胁情报中心撰写了的分析文章报告

(4)与114.67.65.156:8081C&C上线服务器地址建立TCP通信链接

114.67.65.156主机3389端口开放(Windows主机无疑)

(5)开启了web服务80端口访问IP发现有一个网站

(6)发现是一个做SEO的泛微目录的站点，留意到网站上面留下了这个站长的微信二维码