2022年度攻防演练情报(7月25日)
2022-7-26 08:48:47 Author: 棉花糖网络安全圈(查看原文) 阅读量:147 收藏

更新红队攻击情报,帮助防守方进行攻击阻断及攻击溯源,减少扣分项,及时止损,从而获取更好名次,情报收集信息来源于互联网及一线情报,本文情报更新时间:2022年7月25日22:12

威胁动态

1.红队投毒

①伪装奇安信天擎EXP的木马

伪装成蓝队,以天擎RCE漏洞为诱饵,在github上发布投毒项目。

项目地址:https://github.com/FuckRedTeam/360tianqingRCE

思路:伪装包,伪装包名:fake_useragant(正常包名为:fake_useragent),加载base64编码的shellcode,截取图片中的字符串,落地免杀exe木马

shellcode:http://i.miaosu.bid/data/f_35461354.png

C2:https://47.106.185.79:60000/#/user/login  120.79.87.123 使用的是Viper

②伪装通达OA EXP的木马

伪装成蓝队,以通达OA EXP为诱饵,在github上发布投毒项目

项目地址:https://github.com/safexz/2022hvv0day (已作废)

木马C2:43.129.158.31

URL:http://43.129.158.31:5555/wc1R

http://43.129.158.31:5555/cm

2.冰蝎更新

可以自定义通信协议,绕过绝大多数流量检测设备,检测组和溯源组需要注意。

3.木马邮件

C2:qianxin.dns-detect.com (科来独家提供,详细情况请联系科来)

4.邮件钓鱼

黑产、APT不加分了,不再更新

5.某福VPN本地rce

某福VPN本地rce漏洞。VPN管理员建议以无痕模式登录VPN管理页面,慎点可疑邮件及链接。

6.攻击队CS跳板机

./teamserver 106.227.15.215 [email protected]

./teamserver 45.207.49.31 fuckyou123 ./QAX.profile   (疑似泼脏水)

7.XSS平台

o0l.co

8.dnslog平台

1433.eu.org
apache.fit (高度疑似360的)

9.CobaltStrike木马C2

alibaba.osscloud.tk
updatewindow.com
tencentcs.com
tools.microserver.ga
www.360mon.cn
tous.qianxin.eu.org
www.updatefordays.com
amazon.de
zh.venustechs.tk
43.129.158.31
120.79.87.123
dns3.azureedge.net
43.155.115.176

10.红队IP

不确认为红队的IP不发了,尽量帮助防守方少做无用功。

39.106.122.161(确认红队)
221.216.117.177(确认红队)
119.45.93.91(确认红队)
119.45.20.160(确认红队)
39.106.122.161(大致确认红队)
114.132.198.197(大致确认红队)
118.195.160.188(大致确认红队)
119.45.20.160(大致确认红队)
43.129.158.31(大致确认红队)
211.143.51.125(疑似影子队)
218.60.148.225(疑似影子队)
106.227.15.215(红队跳板机)
45.207.49.31(红队跳板机)
43.155.115.176(确认红队)


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5NTYwMDIyOA==&mid=2247488457&idx=1&sn=7701326252b67a6d11f40bc3b93a2db7&chksm=c00c80c2f77b09d4b1b535a129e46a8b432dbf43abe97bde476fd53d666c770fd21c4a659437#rd
如有侵权请联系:admin#unsafe.sh