使用ZoomEye寻找APT攻击的示例分析

这篇文章的内容主要围绕使用ZoomEye寻找APT攻击的示例分析进行讲述，文章内容清晰易懂，条理清晰，非常适合新手学习，值得大家去阅读。感兴趣的朋友可以跟随小编一起阅读吧。希望大家通过这篇文章有所收获！ZoomEye线上的数据是覆盖更新的模式，也就是说第2次扫描如果没有扫描到数据就不会覆盖更新数据，ZoomEye上的数据会保留第1次扫描获取到的banner数据，这个机制在这种恶意攻击溯源里其实有着很好的场景契合点：恶意攻击比如Botnet、APT等攻击使用的下载服务器被发现后一般都是直接停用抛弃，当然也有一些是被黑的目标，也是很暴力的直接下线！所以很多的攻击现场很可能就被ZoomEye线上缓存。当然在ZoomEye历史api里提供的数据，不管你覆盖不覆盖都可以查询出每次扫描得到的banner数据，但是目前提供的ZoomEye历史API只能通过IP去查询，而不能通过关键词匹配搜索，所以我们需要结合上面提到的ZoomEye线上缓存数据搜索定位配合使用。在前几天其实我在“黑科技”知识星球里提到了，只是需要修复一个“bug”：这次Darkhotel使用的IE 0day应该是CVE-2019-1367 而不是CVE-2020-0674（感谢廋肉丁@奇安信），当然这个“bug”不影响本文的主题。从上图可以看出我们通过ZoomEye线上数据定位到了当时一个Darkhotel水坑攻击现场IP，我们使用ZoomEye SDK查询这个IP的历史记录：列举ZoomEye历史数据里收录这个IP数据的时间节点及对应端口服务我们再看看被植入IE 0day的进行水坑攻击的时间节点及端口：很显然这个水坑攻击的大致时间区间是从2019-10-06 05:24:44到2020-01-28 10:58:02，另外这个IP很显然不是攻击者购买的VPS之类，而是直接攻击了某个特定的网站来作为“水坑”进行攻击，可以确定的是这个IP网站早在2019-10-06之前就已经被入侵了！从这个水坑的网站性质可以基本推断Darkhotel这次攻击的主要目标就是访问这个网站的用户！我们继续列举下在2019年这个IP开了哪些端口服务，从而帮助我们分析可能的入侵点：很典型的JSP运行环境，在2019年5月的时候开了8009端口，Tomcat后台管理弱口令等问题一直都是渗透常用手段～～顺带提一句，其实这次的攻击还涉及了另外一个IP，因为这个IP相关端口banner因为更新被覆盖了，所以直接通过ZoomEye线上搜索是搜索不到的，不过如果你知道这个IP也可以利用ZoomEye历史数据API来查询这个IP的历史数据，这里就不详细展开了。关于毒云藤（APT-C-01）的详细报告可以参考
https://ti.qianx免费云主机域名in.com/uploads/2018/09/20/6f8ad451646c9eda1f75c5d31f39f668.pdf我们直接把关注点放在“毒云藤组织使用的一个用于控制和分发攻击载荷的控制域名
http://updateinfo.servegame.org”“然后从下载 payload”
URL上，我们先尝试找下这个域名对应的IP，显然到现在这个时候还没有多大收获：在奇安信的报告里我们可以看到使用的下载服务器WEB服务目录可以遍历
所以我们应该可以直接尝试搜索那个文件名“tiny1detvghrt.tmp”，果然被我们找到了这里我们可以基本确定了updateinfo.servegame.org对应的IP为165.227.220.223 那么我们开始老套路查询历史数据：继续看看这个tiny1detvghrt.tmp部署的时间区间：最起码可以确定从2017年11月底就已经开始部署攻击了，那么在这个时间节点之前还有一个时间节点2017-10-04 05:17:38，我们看看他的banner数据：从这个banner数据里可以得出结论，这个跟第一个案例里目标明确的入侵后植入水坑不一样的是，这个应该是攻击者自主可控的服务器，从doajksdlfsadk.tmp这些文件命名方式及文件大小（都为4.9k）基本可以推断这个时间节点应该是攻击者进行攻击之前的实战演练！所以这个IP服务器一开始就是为了APT攻击做准备的，到被发现后就直接抛弃！感谢你的阅读，相信你对“使用ZoomEye寻找APT攻击的示例分析”这一问题有一定的了解，快去动手实践吧，如果想了解更多相关知识点，可以关注云编程开发博客网站！小编会继续为大家带来更好的文章！

相关推荐: 如何进行OpenSSL基础中的加密及解密

这篇文章主要为大家分析了如何进行OpenSSL基础中的加密及解密的相关知识点，内容详细易懂，操作细节合理，具有一定参考价值。如果感兴趣的话，不妨跟着跟随小编一起来看看，下面跟着小编一起深入学习“如何进行OpenSSL基础中的加密及解密”的知识吧。说到Open…