前言
本地钓鱼攻击,大概率是针对运维人员的,finalshell 的官网一直没有换过样式,大家注意甄别钓鱼网站
正片开始
先看官网
http://hostbuf.com/
再看仿冒伪劣木马
https://finalshell.cn/
胆子是真大啊,拿 cn 做.......
我还想下个 macOS 版本看看,没想到直接给我下载 exe 了
再一看是 cn 域名,好家伙
whois 一下域名,姓名邮箱直接出来了(CNNIC 并不免费提供 WHOIS 信息保护,这也就是为啥 cn域名便宜)
搜一下,真实无恶不作啊
然后搜一下这个 whois 的邮箱,发现好多假冒伪劣网站,甚至还有针对网安人员专属的(0day.cn≈0ray.cn)
可以拿资产测绘平台查看这个域名往期都干了什么
然后拖到微步里面
地址:
https://s.threatbook.com/report/file/143843a023169f0ded6cd4abb5c9c6d5217ec83ff090d0613ee39603e9a30f7f?sign=history&env=win10_1903_enx64_office2016
得到 host 地址
这个应该是 C2 服务器的地址
扫描发现,就一个 54 端口
nc 连接,发现是 xns-ch(XNS Clearinghouse 施乐网络服务系统票据交换验证,百度看了一圈,没啥能用的)
总结 IOC
bossex.trc.tws1.star1ine.com38.46.10.130
处置建议:封禁双向出口
技术交流群:关注公众号“知攻善防实验室”后台回复“交流群”
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
