腾讯安全在2月22日发布文章把次IP归属为H2Miner挖矿团伙。这个团伙还有另外一个名字:Kinsing。从开源威胁情报信息可以看出这个团伙从去年开始一直很活跃,对新爆发的漏洞利用转发率非常快。
最近日常使用ZoomEye搜索一些恶意IOC IP信息时,发现一个现在还在活跃的恶意IP:194.38.20.199 直接在ZoomEye里查询:194.38.20.199 -ip:194.38.20.199解释下:前面那IP当字符串全局匹配,后面的-ip:194.38.20.199的目的是排除掉本身这个IP开的端口服务的一些信息,结果如下图:得到129条结果,其中主要是redis及docker服务:这些都是这个团伙作案遗留下来的痕迹被ZoomEye捕获,从redis记录可以看出来是通过设置 master_host 的方式进行攻击的(参考 https://paper.seebug.org/975/ ),而docker服务通过docker api获取容器信息来看是设置了镜像Command命令实现命令执行:
访问确定目前这个IP几服务还是存活状态!很多事情僵尸 *** 等的自动化攻击都会遗留下很多的攻击痕迹,而这些痕迹可以被 *** 空间搜索引擎探测捕捉到,比如 https://paper.seebug.org/595/ 再比如? 前不久360netlab抓到的一个新的Matryosh僵尸 *** 通过攻击adb服务进行传播,国外的研究者就发现通过ZoomEye可以捕捉到有意思信息 https://twitter.com/r3dbU7z/status/1356802656493264896我们回到这个主题案例,在这些被入侵的docker api服务里我们可以通过ZoomEye搜索 wget 或 curl 或 apt-get这些痕迹来确定被入侵目标及其他黑客团伙或IOC信息,我们以wget为例子 搜索语法如下:
到目前搜索到71 条结果(注意这个结果可能随时变化这个是因为ZoomEye采用覆盖更新的方式,比如被入侵后恢复正常服务就会被替换)搜索其他团伙或者IOC语法如下:
排除包含有194.38.20.199的目标,得到19条结果。随便找一个:
找到一个新的34.66.229.152[目前也处于存活状态] 开源威胁情报显示这个是Tsunami的DDOS团伙,我们继续语法:
得到2条目标,看下banner里的Command信息得到2个恶意IP 45.137.155.55[目前也处于存活状态] 及 209.141.40.190[目前也处于存活状态]
从这个命令格式及d.sh的来看跟 194.38.20.199的很类似,姑且可以归于Kinsing。
看起来又是一个挖矿相关的,所以到目前为止我们通过在Docker API信息里搜索wget最终找到了如下几个恶意IOC:194.38.20.199/45.137.155.55 Kinsing/挖矿34.66.229.152? Tsunami/DDOS209.141.40.190 未知/挖矿当然你还可以通过分析哪些sh脚本提取跟多的IOC IP地址进行关联,这里与主题关系不大就不继续了。
操作方式 01 开场问候开场的时辰,我们可以选择用文字进行问候,例如:你好。也可以选择用脸色进行问候,例如:微笑的脸色。 02 多说一些诙谐的话语在聊天过程中,...
本文导读目录: 1、还有哪部电影中有天眼的。可入侵任何一个摄像头。来查找任何一个人! 2、华为p50pro与荣耀Magic4的区别? 3、舒淇拍的网络黑客是那部电影 4、听说笔记本摄像头会...
孔雀开屏的屏是指哪个部位?覆羽、尾羽、飞羽。这是森林驿站8月31日森林小课堂的题目,小伙伴们知道“孔雀开屏”的“屏”值得是覆羽、尾羽、还是飞羽吗?下面就是这道题的正确答案了,一起来看看吧! 森林驿...
网络推广的方式哪些才是最简单,并且有一定效果的呢? 每一个企业型网站都需要进行网络推广,网络推广就是以企业产品或服务为核心内容,建立网站,再把这个网站通过各种免费或收费渠道展示给网民的一种推广方...
盗微信号违法(技术专业盗微信号手机软件下载应用) 近些年,伴随着各种社交网络平台的盛行和发展趋势,大家在日常生活或工作上愈来愈依靠交友软件开展沟通交流,很多的个人信息将被保存,如生活照、个人日志、绝...
“商务对白清晰-【吕笑白】” 1:首先是微信,附近的人,漂流瓶,添加咨询。 2:陌陌APP,这款社交软件号称是某陌,约X神器。 3:第?a是探探APP,这款受年轻人欢迎的软件同样可以找到外围女学妹...