作者:
聚鋒實驗室
·
2015/07/06 10:45
0x00 背景
肉雞也稱傀儡機,是指可以被駭客遠端控制的機器。一旦成為肉雞,就可以被攻擊者隨意利用,如:竊取資料、再次發起攻擊、破壞等等。下面將利用WireShark一起學習一種肉雞的用途:廣告垃圾郵件傳送站。
0x01 發現問題
在對某企業伺服器群進行安全檢測時發現客戶一臺伺服器(10.190.214.130)存在異常,從其通訊行為來看應該為一臺空閒伺服器。 經過一段時間的抓包採集,對資料進行協議統計發現,基本均為SMTP協議。
SMTP協議為郵件為郵件傳輸協議。正常情況下出現此協議有兩種情況:
1、使用者傳送郵件產生。
2、郵件伺服器正常通訊產生。
該IP地址屬於伺服器,所以肯定非個人使用者利用PC機傳送郵件。
那這是一臺郵件伺服器?如果是,為什麼僅有SMTP協議,POP3、HTTP、IMAP等等呢?
帶著疑問我們統計了一下資料的IP、埠等資訊:
統計資訊表明:所有通訊均是與61.158.163.126(河南三門峽)產生的SMTP協議,且伺服器(10.190.214.130)開放了TCP25埠,它的的確確是一臺郵件伺服器。
到這,很多安全分析人員或監控分析軟體就止步了。原因是IP合理、邏輯也合理、SMTP協議很少有攻擊行為,以為是一次正常的郵件通訊行為。那麼很可惜,你將錯過一次不大不小的安全威脅事件。
職業的敏感告訴我,它不是一臺合理的郵件伺服器。這個時候需要用到應用層的分析,看一看它的通訊行為。繼續看看SMTP登陸過程的資料。
從資料看出,郵箱登陸成功,右鍵Follow TCPStream可以看見完整登陸資訊。
334 VXNlcm5hbWU6 // Base64解碼為:“Username:”
YWRtaW4= //使用者輸入的使用者名稱,Base Base64解碼為:“admin”
334 UGFzc3dvcmQ6 //Base64解碼為:“Password:”
YWRtaW4= //使用者輸入的密碼,Base Base64解碼為:“admin”
235 Authentication successful. //認證成功
MAIL FROM:<[email protected]> //郵件傳送自……
這段資料表明:61.158.163.126透過SMTP協議,使用使用者名稱admin、密碼admin,成功登陸郵件伺服器10.190.214.30,[email protected],[email protected]
一看使用者名稱、密碼、郵箱,就發現問題了:
1、admin賬號一般不會透過網際網路登陸進行管理。
2、“二貨”管理員才會把admin賬號設為密碼。
[email protected]
很顯然,這是一臺被控制的郵件伺服器—“肉雞郵件伺服器”。
0x02 行為跟蹤
發現問題了,下一步跟蹤其行為,這個肉雞伺服器到底是幹什麼的。檢視Follow TCPStream完整資訊可發現:[email protected],收件人包括: [email protected]@[email protected](帶QQ的郵箱暫時抹掉,原因見最後),郵件內容不多。
為看到完整郵件內容,我們可以點選Save As存為X.eml,用outlook等郵件客戶端開啟。
一看郵件,所有謎團都解開了。郵件內容就是一封“巧虎”的廣告垃圾郵件,該伺服器被攻擊者控制建立了郵件伺服器,用於垃圾郵件傳送站。再用同樣的方法還原部分其它郵件:
可以看出郵件內容完全一樣,從前面圖中可看出短時間的監控中SMTP協議有幾十次會話,也就說傳送了幾十次郵件,涉及郵箱幾百人。郵件中的域名http://url7.me/HnhV1開啟後會跳轉至巧虎商品的廣告頁面。
0x03 分析結論
1、該伺服器經簡單探測,開放了TCP25/110/445/135/3389/139等大量高危埠,所以被攻擊控制是必然。
2、該伺服器已被控制建立了肉雞郵件伺服器(WinWebMail),[email protected],由61.158.163.126(河南省三門峽市)[email protected],透過郵件客戶端或專用軟體往外傳送垃圾郵件。
3、簡單百度一下,[email protected],今天終於弄清了它的來龍去脈。
4、垃圾郵件傳送不是隨便發的,是很有針對性的。巧虎是幼兒產品,從接受郵件的QQ號碼中隨便選取4位查詢資料發現傳送物件可能都為年輕的爸爸媽媽。
申明:文章中出現IP、郵箱地址等資訊均為安全監控、攻擊防範學習交流所用,切勿用於其它用途,否則責任自負。
0x04 後續文章初步設計
對於後續文章內容,初步設計WireShark駭客發現之旅--暴力破解、埠掃描、Web漏洞掃描、Web漏洞利用、仿冒登陸、釣魚郵件、資料庫攻擊、郵件系統攻擊、基於Web的內網滲透等。但可能會根據時間、搭建實驗環境等情況進行略微調整。 (By:Mr.Right、K0r4dji)
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!