分析
攻击方式分析
主机上恶意样本位置及类型:
主机环境:
智源日志:
根据上图通信的情况类似于c2或者botnet的心跳包
上图也类似于c2或者botnet的心跳包,并起了三个进程
伪装正常的windows系统自带程序并服务的方式注册,示例:
根据以上分析,入侵方式应该是永恒之蓝,暂不确定目的是提权还是打点,需要进一步分析,如是打点可能内网会有其他的主机已沦陷需警惕,即便是提权,那到了内网,利用了永恒之蓝且为botnet,有很大的可能内网的其他主机也同样沦陷
恶意样本分析示例(dllhostx.exe):
行为图:
行为信息:
执行流程:
网络行为:
威胁情报查询
139.59.109.18:
通信样本示例:
17个通信样本,54条数据
反查域名:
其中多个被威胁情报标记为恶意且主机被标记为矿池ip,挖矿团伙名称:MINE-013此团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于新加坡的矿池CC主机: 139.59.109.18,绿盟威胁情报标签为:矿池;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
资产信息:
历史测绘信息:
证书:
历史站点截图:
站点语言为泰语,可根据上图中的line、Facebook、tiktok以及support进行下一步溯源
此主机现已被关机,所以未扫描出所开启服务、指纹等相关信息,无法尝试反制
whois信息:
iron.tenchier.com 的whois信息:
域名主机上为namecheap,此域名商可只提供邮箱多种方式付款,所以暂未通过域名反查出注册人的信息,另一域名miniast.com同上为namecheap的域名
194.195.223.249
威胁情报信息:
解析的域名与上一ip基本一致
资产信息:
历史开放端口:
22、443
证书:
主机当前状态:
可以尝试去反制一下,但根据威胁情报,现在的和之前的不确定是否为同一台主机
总结:
根据以上,通过主机日志、服务、样本、流量、威胁情报、资产测绘情况等相关数据,可以确定入侵方式、维权方法、攻击类型以及相关的恶意团伙,如后续有需求可以更加深入的分析,如攻击链分析、攻击进入时间,挖矿团伙溯源反制等