记一篇TrickBot银行木马攻击溯源
2022-12-12 23:7:36 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

请允许我先啰嗦一下:

之前很少把工作的 溯源笔记排查笔记发出来,直接原因是:上报分析报告基本都是 word 或者 pdf,没有markdown格式,整理成markdown格式浪费时间,还不如去学习新知识,或者........追剧,

但是,上次无聊,看好多招聘要求都要有src漏洞、安全社区的原创文章什么的,src没有高危先放一边,试着写了一篇安全报告,居然上推荐了,瞬间又来了兴趣。


(帖图显摆一下,啊哈哈哈,不要嘲笑很少写文章的我 ^ _ ^ )
image-20221212215217159.png

----------开搞!!!!

这次带来的是 银行木马!!!

还是像上次一样,正式报告已经丢失,手中的,只有上传微步时的简略报告了...........

**攻击路径:**经过一系列的排查和溯源,确定本次 攻击路径 是通过 NETGEAR(美国网件公司) 生产的路由器的 历史漏洞 打进来的。

看了日志后,一切排查结束后,话不多说,开始上手,去导流量包,有个癖好,喜欢收藏流量包,各种攻击流量,各种隐藏的流量,还可以积攒出CTF题目的思路。上次就碰到个ICMP隧道的,这个以后再说!!!

2.1 172.105.15.152

放图:
image-20221212221004610.png

访问了phpAdmin,返回的流量包中,发现了返回了敏感文件内容 /etc/passwd

其中,还执行了路由器命令,show startup-config 是思科系列查看配置的命令,不是太了解NETGEAR使用的是不是思科的。

image-20221212221448628.png
后面是返回的数据,型号为:NETGEAR DGN1000,是NETGEAR公司的一款无线路由器

2.1.1 探测了网络中的摄像头

有一部分流量,黑客查看了网络摄像头。

摄像头是d-link的,DSC-2332L,版本为:1.06

image-20221212222114519.png

image-20221212222118948.png

好家伙,这伙计可以啊,摄像头也搞。

通过mac地址反查,也可以反查到是D-link的设备
image-20221212222323884.png

2.1.2 尝试修改密码

有一段流量,发现尝试更改密码,根据页面返回信息来看,判断是修改失败。

image-20221212222453194.png

2.2 172.104.241.29

与上述IP行为一致,不过这里已经攻击到服务器了,攻击了类似于一个wiki的知识管理系统。
image-20221212222826023.png

image-20221212222833934.png
同样返回了/etc/passwd文件内容,执行了命令show startup-config

登录了root用户,查看了admin账户的密码image-20221212222906739.png

后期样本的分析,锁定是银行木马,会下载其他程序,从而实现窃取凭证,邮件劫持等。

这里说一个骚操作,看到回显内容了吗,直接FOFA:title="Confluence",这个东西是个知识管理系统,类似于wiki,嘿嘿!

不能瞎搞,做一个知法守法的好公民。

172.104.241.29
172.105.15.152

就这样了!有些敏感数据不能放出来,放出来也必须打码,大家见谅。疫情放开了,看到文章的小伙伴注意防护哦,祝大家来年 涨薪!涨薪!!涨薪!!!

微步审核,奖励2个微步币

image.png

Bye..


文章来源: https://www.freebuf.com/vuls/352286.html
如有侵权请联系:admin#unsafe.sh