這篇文章的內(nèi)容主要圍繞使用ZoomEye尋找APT攻擊的示例分析進(jìn)行講述，文章內(nèi)容清晰易懂，條理清晰，非常適合新手學(xué)習(xí)，值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過(guò)這篇文章有所收獲！

創(chuàng)新互聯(lián)公司-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性?xún)r(jià)比七里河網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式七里河網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋七里河地區(qū)。費(fèi)用合理售后完善，10多年實(shí)體公司更值得信賴(lài)。

ZoomEye線(xiàn)上的數(shù)據(jù)是覆蓋更新的模式，也就是說(shuō)第2次掃描如果沒(méi)有掃描到數(shù)據(jù)就不會(huì)覆蓋更新數(shù)據(jù)，ZoomEye上的數(shù)據(jù)會(huì)保留第1次掃描獲取到的banner數(shù)據(jù)，這個(gè)機(jī)制在這種惡意攻擊溯源里其實(shí)有著很好的場(chǎng)景契合點(diǎn)：惡意攻擊比如Botnet、APT等攻擊使用的下載服務(wù)器被發(fā)現(xiàn)后一般都是直接停用拋棄，當(dāng)然也有一些是被黑的目標(biāo)，也是很暴力的直接下線(xiàn)！所以很多的攻擊現(xiàn)場(chǎng)很可能就被ZoomEye線(xiàn)上緩存。

當(dāng)然在ZoomEye歷史api里提供的數(shù)據(jù)，不管你覆蓋不覆蓋都可以查詢(xún)出每次掃描得到的banner數(shù)據(jù)，但是目前提供的ZoomEye歷史API只能通過(guò)IP去查詢(xún)，而不能通過(guò)關(guān)鍵詞匹配搜索，所以我們需要結(jié)合上面提到的ZoomEye線(xiàn)上緩存數(shù)據(jù)搜索定位配合使用。

案例一：Darkhotel APT

在前幾天其實(shí)我在“黑科技”知識(shí)星球里提到了，只是需要修復(fù)一個(gè)“bug”：這次Darkhotel使用的IE 0day應(yīng)該是CVE-2019-1367 而不是CVE-2020-0674（感謝廋肉丁@奇安信），當(dāng)然這個(gè)“bug”不影響本文的主題。

從上圖可以看出我們通過(guò)ZoomEye線(xiàn)上數(shù)據(jù)定位到了當(dāng)時(shí)一個(gè)Darkhotel水坑攻擊現(xiàn)場(chǎng)IP，我們使用ZoomEye SDK查詢(xún)這個(gè)IP的歷史記錄：

╭─heige@404Team ~╰─$python                                                                                                                                    Python 2.7.16 (default, Mar 15 2019, 21:13:51)[GCC 4.2.1 Compatible Apple LLVM 10.0.0 (clang-1000.11.45.5)] on darwinType "help", "copyright", "credits" or "license" for more information.
 import zoomeye
 zm = zoomeye.ZoomEye(username="xxxxx", password="xxxx")
 zm.login()
 u'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpX...'
 data = zm.history_ip("202.x.x.x")
 22

列舉ZoomEye歷史數(shù)據(jù)里收錄這個(gè)IP數(shù)據(jù)的時(shí)間節(jié)點(diǎn)及對(duì)應(yīng)端口服務(wù)

 ...
 >>>for i in data['data']:
 ...     print(i['timestamp'],i['portinfo']['port'])
 ...
 (u'2020-01-28T10:58:02', 80)
 (u'2020-01-05T18:33:17', 80)
 (u'2019-11-25T05:27:58', 80)
 (u'2019-11-02T16:10:40', 80)
 (u'2019-10-31T11:39:02', 80)
 (u'2019-10-06T05:24:44', 80)
 (u'2019-08-02T09:52:27', 80)
 (u'2019-07-27T19:22:11', 80)
 (u'2019-05-18T10:38:59', 8181)
 (u'2019-05-02T19:37:20', 8181)
 (u'2019-05-01T00:48:05', 8009)
 (u'2019-04-09T16:29:58', 8181)
 (u'2019-03-24T20:46:31', 8181)
 (u'2018-05-18T18:22:21', 137)
 (u'2018-02-22T20:50:01', 8181)
 (u'2017-03-13T03:11:39', 8181)
 (u'2017-03-12T16:43:54', 8181)
 (u'2017-02-25T09:56:28', 137)
 (u'2016-11-01T00:22:30', 137)
 (u'2015-12-30T22:53:17', 8181)
 (u'2015-03-13T20:17:45', 8080)
 (u'2015-03-13T19:33:15', 21)

我們?cè)倏纯幢恢踩隝E 0day的進(jìn)行水坑攻擊的時(shí)間節(jié)點(diǎn)及端口：

>>> for i in data['data']:
 ...     if "164.js" in i['raw_data']:
 ...             print(i['timestamp'],i['portinfo']['port'])
 ...
 (u'2020-01-28T10:58:02', 80)
 (u'2020-01-05T18:33:17', 80)
 (u'2019-11-25T05:27:58', 80)
 (u'2019-11-02T16:10:40', 80)
 (u'2019-10-31T11:39:02', 80)
 (u'2019-10-06T05:24:44', 80)

很顯然這個(gè)水坑攻擊的大致時(shí)間區(qū)間是從2019-10-06 05:24:44到2020-01-28 10:58:02，另外這個(gè)IP很顯然不是攻擊者購(gòu)買(mǎi)的VPS之類(lèi)，而是直接攻擊了某個(gè)特定的網(wǎng)站來(lái)作為“水坑”進(jìn)行攻擊，可以確定的是這個(gè)IP網(wǎng)站早在2019-10-06之前就已經(jīng)被入侵了！從這個(gè)水坑的網(wǎng)站性質(zhì)可以基本推斷Darkhotel這次攻擊的主要目標(biāo)就是訪(fǎng)問(wèn)這個(gè)網(wǎng)站的用戶(hù)！

我們繼續(xù)列舉下在2019年這個(gè)IP開(kāi)了哪些端口服務(wù)，從而幫助我們分析可能的入侵點(diǎn)：

>>> for i in data['data']:
 ...     if "2019" in i['timestamp']:
 ...             print(i['timestamp'],i['portinfo']['port'],i['portinfo']['service'],i['portinfo']['product'])
 ...
 (u'2019-11-25T05:27:58', 80, u'http', u'nginx')
 (u'2019-11-02T16:10:40', 80, u'http', u'nginx')
 (u'2019-10-31T11:39:02', 80, u'http', u'nginx')
 (u'2019-10-06T05:24:44', 80, u'http', u'nginx')
 (u'2019-08-02T09:52:27', 80, u'http', u'nginx')
 (u'2019-07-27T19:22:11', 80, u'http', u'nginx')
 (u'2019-05-18T10:38:59', 8181, u'http', u'Apache Tomcat/Coyote JSP engine')
 (u'2019-05-02T19:37:20', 8181, u'http', u'Apache Tomcat/Coyote JSP engine')
 (u'2019-05-01T00:48:05', 8009, u'ajp13', u'Apache Jserv')
 (u'2019-04-09T16:29:58', 8181, u'http', u'Apache httpd')
 (u'2019-03-24T20:46:31', 8181, u'http', u'Apache Tomcat/Coyote JSP engine')

很典型的JSP運(yùn)行環(huán)境，在2019年5月的時(shí)候開(kāi)了8009端口，Tomcat后臺(tái)管理弱口令等問(wèn)題一直都是滲透常用手段～～

順帶提一句，其實(shí)這次的攻擊還涉及了另外一個(gè)IP，因?yàn)檫@個(gè)IP相關(guān)端口banner因?yàn)楦卤桓采w了，所以直接通過(guò)ZoomEye線(xiàn)上搜索是搜索不到的，不過(guò)如果你知道這個(gè)IP也可以利用ZoomEye歷史數(shù)據(jù)API來(lái)查詢(xún)這個(gè)IP的歷史數(shù)據(jù)，這里就不詳細(xì)展開(kāi)了。

案例二：毒云藤（APT-C-01）

關(guān)于毒云藤（APT-C-01）的詳細(xì)報(bào)告可以參考 https://ti.qianxin.com/uploads/2018/09/20/6f8ad451646c9eda1f75c5d31f39f668.pdf我們直接把關(guān)注點(diǎn)放在

“毒云藤組織使用的一個(gè)用于控制和分發(fā)攻擊載荷的控制域名  http://updateinfo.servegame.org”

“然后從 

hxxp://updateinfo.servegame.org/tiny1detvghrt.tmp

下載 payload”

URL上，我們先嘗試找下這個(gè)域名對(duì)應(yīng)的IP，顯然到現(xiàn)在這個(gè)時(shí)候還沒(méi)有多大收獲：

╭─heige@404Team ~╰─$ping updateinfo.servegame.orgping: cannot resolve updateinfo.servegame.org: Unknown host

在奇安信的報(bào)告里我們可以看到使用的下載服務(wù)器WEB服務(wù)目錄可以遍歷

所以我們應(yīng)該可以直接嘗試搜索那個(gè)文件名“tiny1detvghrt.tmp”，果然被我們找到了

這里我們可以基本確定了updateinfo.servegame.org對(duì)應(yīng)的IP為165.227.220.223 那么我們開(kāi)始老套路查詢(xún)歷史數(shù)據(jù)：

  >>> data = zm.history_ip("165.227.220.223")
    >>> 9
    >>> for i in data['data']:
     ...     print(i['timestamp'],i['portinfo']['port'])
     ...
     (u'2019-06-18T19:02:22', 22)
     (u'2018-09-02T08:13:58', 22)
     (u'2018-07-31T05:58:44', 22)
     (u'2018-05-20T00:55:48', 80)
     (u'2018-05-16T20:42:35', 22)
     (u'2018-04-08T07:53:00', 80)
     (u'2018-02-22T19:04:29', 22)
     (u'2017-11-21T19:09:14', 80)
     (u'2017-10-04T05:17:38', 80)

繼續(xù)看看這個(gè)tiny1detvghrt.tmp部署的時(shí)間區(qū)間：

>>> for i in data['data']:
 ...     if "tiny1detvghrt.tmp" in i['raw_data']:
 ...             print(i['timestamp'],i['portinfo']['port'])
 ...
 (u'2018-05-20T00:55:48', 80)
 (u'2018-04-08T07:53:00', 80)
 (u'2017-11-21T19:09:14', 80)

最起碼可以確定從2017年11月底就已經(jīng)開(kāi)始部署攻擊了，那么在這個(gè)時(shí)間節(jié)點(diǎn)之前還有一個(gè)時(shí)間節(jié)點(diǎn)2017-10-04 05:17:38，我們看看他的banner數(shù)據(jù)：

>>> for i in data['data']:
 ...     if "2017-10-04" in i['timestamp']:
 ...             print(i['raw_data'])
 ...
 HTTP/1.1 200 OK
 Date: Tue, 03 Oct 2017 21:17:37 GMT
 Server: Apache
 Vary: Accept-Encoding
 Content-Length: 1757
 Connection: close
 Content-Type: text/html;charset=UTF-8<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><html>
 <head>
  <title>Index of /</title>
 </head>
 <body><h2>Index of /</h2>
  <table>
   <tr><th valign="top">< img src="/icons/blank.gif" alt="[ICO]"></th><th>< a href=" ">Name</ a></th><th>< a href="?C=M;O=A">Last modified</ a></th><th>< a href="?C=S;O=A">Size</ a></th><th>< a href="?C=D;O=A">Description</ a></th></tr>
   <tr><th colspan="5"><hr></th></tr><tr><td valign="top">< img src="/icons/unknown.gif" alt="[   ]"></td><td>< a href="doajksdlfsadk.tmp">doajksdlfsadk.tmp</ a></td><td align="right">2017-09-15 08:21  </td><td align="right">4.9K</td><td> </td></tr><tr><td valign="top">< img src="/icons/unknown.gif" alt="[   ]"></td><td>< a href="doajksdlfsadk.tmp.1">doajksdlfsadk.tmp.1</ a></td><td align="right">2017-09-15 08:21  </td><td align="right">4.9K</td><td> </td></tr><tr><td valign="top">< img src="/icons/unknown.gif" alt="[   ]"></td><td>< a href="doajksdlrfadk.tmp">doajksdlrfadk.tmp</ a></td><td align="right">2017-09-27 06:36  </td><td align="right">4.9K</td><td> </td></tr><tr><td valign="top">< img src="/icons/unknown.gif" alt="[   ]"></td><td>< a href="dvhrksdlfsadk.tmp">dvhrksdlfsadk.tmp</ a></td><td align="right">2017-09-27 06:38  </td><td align="right">4.9K</td><td> </td></tr><tr><td valign="top">< img src="/icons/unknown.gif" alt="[   ]"></td><td>< a href="vfajksdlfsadk.tmp">vfajksdlfsadk.tmp</ a></td><td align="right">2017-09-27 06:37  </td><td align="right">4.9K</td><td> </td></tr><tr><td valign="top">< img src="/icons/unknown.gif" alt="[   ]"></td><td>< a href="wget-log">wget-log</ a></td><td align="right">2017-09-20 07:24  </td><td align="right">572 </td><td> </td></tr>
   <tr><th colspan="5"><hr></th></tr></table></body></html>

從這個(gè)banner數(shù)據(jù)里可以得出結(jié)論，這個(gè)跟第一個(gè)案例里目標(biāo)明確的入侵后植入水坑不一樣的是，這個(gè)應(yīng)該是攻擊者自主可控的服務(wù)器，從doajksdlfsadk.tmp這些文件命名方式及文件大小（都為4.9k）基本可以推斷這個(gè)時(shí)間節(jié)點(diǎn)應(yīng)該是攻擊者進(jìn)行攻擊之前的實(shí)戰(zhàn)演練！所以這個(gè)IP服務(wù)器一開(kāi)始就是為了APT攻擊做準(zhǔn)備的，到被發(fā)現(xiàn)后就直接拋棄！

感謝你的閱讀，相信你對(duì)“使用ZoomEye尋找APT攻擊的示例分析”這一問(wèn)題有一定的了解，快去動(dòng)手實(shí)踐吧，如果想了解更多相關(guān)知識(shí)點(diǎn)，可以關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司網(wǎng)站！小編會(huì)繼續(xù)為大家?guī)?lái)更好的文章！

標(biāo)題名稱(chēng)：使用ZoomEye尋找APT攻擊的示例分析-創(chuàng)新互聯(lián)
本文URL：http://www.rwnh.cn/article28/pcgcp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶(hù)體驗(yàn)、手機(jī)網(wǎng)站建設(shè)、軟件開(kāi)發(fā)、微信公眾號(hào)、關(guān)鍵詞優(yōu)化、網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)