WireShark駭客發現之旅—肉雞郵件伺服器
0x00 背景
肉雞也稱傀儡機,是指可以被駭客遠端控制的機器。一旦成為肉雞,就可以被攻擊者隨意利用,如:竊取資料、再次發起攻擊、破壞等等。下面將利用WireShark一起學習一種肉雞的用途:廣告垃圾郵件傳送站。
0x01 發現問題
在對某企業伺服器群進行安全檢測時發現客戶一臺伺服器(10.190.214.130)存在異常,從其通訊行為來看應該為一臺空閒伺服器。 經過一段時間的抓包採集,對資料進行協議統計發現,基本均為SMTP協議。
SMTP協議為郵件為郵件傳輸協議。正常情況下出現此協議有兩種情況:
1、使用者傳送郵件產生。
2、郵件伺服器正常通訊產生。
該IP地址屬於伺服器,所以肯定非個人使用者利用PC機傳送郵件。
那這是一臺郵件伺服器?如果是,為什麼僅有SMTP協議,POP3、HTTP、IMAP等等呢?
帶著疑問我們統計了一下資料的IP、埠等資訊:
統計資訊表明:所有通訊均是與61.158.163.126(河南三門峽)產生的SMTP協議,且伺服器(10.190.214.130)開放了TCP25埠,它的的確確是一臺郵件伺服器。
到這,很多安全分析人員或監控分析軟體就止步了。原因是IP合理、邏輯也合理、SMTP協議很少有攻擊行為,以為是一次正常的郵件通訊行為。那麼很可惜,你將錯過一次不大不小的安全威脅事件。
職業的敏感告訴我,它不是一臺合理的郵件伺服器。這個時候需要用到應用層的分析,看一看它的通訊行為。繼續看看SMTP登陸過程的資料。
從資料看出,郵箱登陸成功,右鍵Follow TCPStream可以看見完整登陸資訊。
334 VXNlcm5hbWU6 // Base64解碼為:“Username:”
YWRtaW4= //使用者輸入的使用者名稱,Base Base64解碼為:“admin”
334 UGFzc3dvcmQ6 //Base64解碼為:“Password:”
YWRtaW4= //使用者輸入的密碼,Base Base64解碼為:“admin”
235 Authentication successful. //認證成功
MAIL FROM:<[email protected]> //郵件傳送自……
這段資料表明:61.158.163.126透過SMTP協議,使用使用者名稱admin、密碼admin,成功登陸郵件伺服器10.190.214.30,[email protected],[email protected]
一看使用者名稱、密碼、郵箱,就發現問題了:
1、admin賬號一般不會透過網際網路登陸進行管理。
2、“二貨”管理員才會把admin賬號設為密碼。
很顯然,這是一臺被控制的郵件伺服器—“肉雞郵件伺服器”。
0x02 行為跟蹤
發現問題了,下一步跟蹤其行為,這個肉雞伺服器到底是幹什麼的。檢視Follow TCPStream完整資訊可發現:[email protected],收件人包括: [email protected]@[email protected](帶QQ的郵箱暫時抹掉,原因見最後),郵件內容不多。
為看到完整郵件內容,我們可以點選Save As存為X.eml,用outlook等郵件客戶端開啟。
一看郵件,所有謎團都解開了。郵件內容就是一封“巧虎”的廣告垃圾郵件,該伺服器被攻擊者控制建立了郵件伺服器,用於垃圾郵件傳送站。再用同樣的方法還原部分其它郵件:
可以看出郵件內容完全一樣,從前面圖中可看出短時間的監控中SMTP協議有幾十次會話,也就說傳送了幾十次郵件,涉及郵箱幾百人。郵件中的域名http://url7.me/HnhV1開啟後會跳轉至巧虎商品的廣告頁面。
0x03 分析結論
1、該伺服器經簡單探測,開放了TCP25/110/445/135/3389/139等大量高危埠,所以被攻擊控制是必然。
2、該伺服器已被控制建立了肉雞郵件伺服器(WinWebMail),[email protected],由61.158.163.126(河南省三門峽市)[email protected],透過郵件客戶端或專用軟體往外傳送垃圾郵件。
3、簡單百度一下,[email protected],今天終於弄清了它的來龍去脈。
4、垃圾郵件傳送不是隨便發的,是很有針對性的。巧虎是幼兒產品,從接受郵件的QQ號碼中隨便選取4位查詢資料發現傳送物件可能都為年輕的爸爸媽媽。
申明:文章中出現IP、郵箱地址等資訊均為安全監控、攻擊防範學習交流所用,切勿用於其它用途,否則責任自負。
0x04 後續文章初步設計
對於後續文章內容,初步設計WireShark駭客發現之旅--暴力破解、埠掃描、Web漏洞掃描、Web漏洞利用、仿冒登陸、釣魚郵件、資料庫攻擊、郵件系統攻擊、基於Web的內網滲透等。但可能會根據時間、搭建實驗環境等情況進行略微調整。 (By:Mr.Right、K0r4dji)
相關文章
- WireShark駭客發現之旅(7)—勒索郵件
- WireShark駭客發現之旅--開篇
- Wireshark駭客發現之旅(4)——暴力破解
- WireShark駭客發現之旅(5)—掃描探測
- WireShark駭客發現之旅(3)—Bodisparking惡意程式碼Spark
- WireShark駭客發現之旅(6)—“Lpk.dll劫持+ 飛客蠕蟲”病毒
- WireShark駭客發現之旅(8)—針對路由器的Linux木馬路由器Linux
- 為什麼釣魚郵件備受駭客青睞
- 微軟高管郵件被盜,俄羅斯駭客入侵微軟企業郵件系統微軟
- JS實現發郵件功能JS
- 利用godaddy的cpanel郵箱伺服器的smtp發郵件Go伺服器
- 聊聊郵件伺服器伺服器
- 駭客借“疫”打劫,一封郵件就可能瞬間攻陷企業內網內網
- 群發郵件
- linux 發郵件Linux
- 郵件客戶端的配置使用客戶端
- 如何在Mac郵件客戶端配置使用S/MIME郵件證書Mac客戶端
- 阿里雲伺服器繞過25埠發郵件阿里伺服器
- 駭客入侵微軟郵件伺服器部署勒索軟體、惠普更新印表機漏洞|12月2日全球網路安全熱點微軟伺服器
- Linux伺服器---郵件伺服器dovecotLinux伺服器
- 黑吃黑——駭客組織透過駭客工具攻擊其他駭客
- 繼微軟之後,惠普子公司HPE也被同一個駭客組織盜取郵件微軟
- 郵件伺服器配置和管理伺服器
- 自建外網郵件伺服器伺服器
- 郵件伺服器安全SPF、DKIM伺服器
- 郵件伺服器如何搭建的伺服器
- 什麼是郵件伺服器伺服器
- 紅客、駭客、駭客有什麼區別?駭客守則注意事項!
- python 發個郵件Python
- Linux伺服器---郵件伺服器openwebmail配置Linux伺服器WebAI
- 駭客入侵微軟郵件伺服器、Windows零日漏洞可獲管理員許可權|11月23日全球網路安全熱點微軟伺服器Windows
- 前端高質量郵件信開發實現 ?前端
- Linux伺服器---郵件服務spamLinux伺服器
- Docker下搭建ewomail郵件伺服器DockerAI伺服器
- Centos 7 搭建postfix郵件伺服器CentOS伺服器
- 用AnySQL在沒有oracle客戶端的伺服器上傳送郵件SQLOracle客戶端伺服器
- electron-vue郵件客戶端總結Vue客戶端
- Linux伺服器---郵件伺服器openwebmail安裝Linux伺服器WebAI