主要观点总结
本文基于推特社交平台上的C2 IP地址及相关文件信息,使用ZoomEye网络空间搜索引擎进行C2资产拓线,发现了属于同一黑客组织的四个IP地址。通过对这些IP服务器上的木马程序进行分析,揭示了黑客组织的攻击手法和特征。
关键观点总结
关键观点1: 使用ZoomEye平台进行C2资产拓线
通过推特社交平台上的C2 IP地址线索,使用ZoomEye网络空间搜索引擎进行资产拓线,发现了四个属于同一黑客组织的IP地址。
关键观点2: 木马文件分析和行为特征
对这些IP服务器上的木马程序进行分析,发现它们都是CobaltStrike和Metasploit的木马,具备Apache Bench的特征信息。木马文件命名和行为特征一致,表明黑客组织使用大众化的攻击工具达成目标。
关键观点3: 黑客组织活动状态和分工情况
通过分析发现该黑客组织处于活跃状态,涉及的服务器资产目前处于使用状态且频繁更新文件。整个组织体系分工明确,使用RAAS化服务,表明原有黑客炫技行为降低,朝着低门槛、大众化方向发展。
关键观点4: 提供IOC列表和IP地址
文章最后提供了相关的IOC列表和具体的IP地址,以便进一步的研究和调查。
文章预览
作者: 知道创宇404实验室 时间: 2024年10月21日 1 摘要 参考资料 本文基于推特社交平台上一则C2的IP地址及其相关文件信息,以此作为线索,使用ZoomEye网络空间搜索引擎 [1] 进行C2资产拓线,发现更多属于该黑客组织的C2网络资产;并针对这些C2服务器上的木马程序进行分析,获取黑客组织的惯用攻击手法和独有特征。 2 概述 参考资料 2024年9月8日,推特社交平台上有一位安全研究员发布了一则C2的IP地址及其相关文件信息,如下图所示。 图 1 推特社交平台线索信息示意图 我们基于该C2的IP线索89.197.154.116,使用ZoomEye平台,来进行C2资产拓线。 3 摸底C2服务器 参考资料 3.1 开放端口 我们首先使用ZoomEye平台搜索该C2 IP地址89.197.154.116(下文简称“IP地址A”)的信息,如下图所示,发现“IP地址A”位于英国伦敦,开放两个端口:80和3000,两个端口均为HTTP服务
………………………………
