肉雞也稱傀儡機,是指可以被黑客遠程控制的機器。一旦成為肉雞,就可以被攻擊者隨意利用,如:竊取資料、再次發起攻擊、破壞等等。下面將利用WireShark一起學習一種肉雞的用途:廣告垃圾郵件發送站。
在對某企業服務器群進行安全檢測時發現客戶一臺服務器(10.190.214.130)存在異常,從其通信行為來看應該為一臺空閑服務器。 經過一段時間的抓包采集,對數據進行協議統計發現,基本均為SMTP協議。
SMTP協議為郵件為郵件傳輸協議。正常情況下出現此協議有兩種情況:
1、用戶發送郵件產生。
2、郵件服務器正常通信產生。
該IP地址屬于服務器,所以肯定非個人用戶利用PC機發送郵件。
那這是一臺郵件服務器?如果是,為什么僅有SMTP協議,POP3、HTTP、IMAP等等呢?
帶著疑問我們統計了一下數據的IP、端口等信息:
統計信息表明:所有通信均是與61.158.163.126(河南三門峽)產生的SMTP協議,且服務器(10.190.214.130)開放了TCP25端口,它的的確確是一臺郵件服務器。
到這,很多安全分析人員或監控分析軟件就止步了。原因是IP合理、邏輯也合理、SMTP協議很少有攻擊行為,以為是一次正常的郵件通信行為。那么很可惜,你將錯過一次不大不小的安全威脅事件。
職業的敏感告訴我,它不是一臺合理的郵件服務器。這個時候需要用到應用層的分析,看一看它的通信行為。繼續看看SMTP登陸過程的數據。
從數據看出,郵箱登陸成功,右鍵Follow TCPStream可以看見完整登陸信息。
334 VXNlcm5hbWU6 // Base64解碼為:“Username:”
YWRtaW4= //用戶輸入的用戶名,Base Base64解碼為:“admin”
334 UGFzc3dvcmQ6 //Base64解碼為:“Password:”
YWRtaW4= //用戶輸入的密碼,Base Base64解碼為:“admin”
235 Authentication successful. //認證成功
MAIL FROM:<[email protected]> //郵件發送自……
這段數據表明:61.158.163.126通過SMTP協議,使用用戶名admin、密碼admin,成功登陸郵件服務器10.190.214.30,[email protected],[email protected]
一看用戶名、密碼、郵箱,就發現問題了:
1、admin賬號一般不會通過互聯網登陸進行管理。
2、“二貨”管理員才會把admin賬號設為密碼。
很顯然,這是一臺被控制的郵件服務器—“肉雞郵件服務器”。
發現問題了,下一步跟蹤其行為,這個肉雞服務器到底是干什么的。查看Follow TCPStream完整信息可發現:[email protected],收件人包括: [email protected]@[email protected](帶QQ的郵箱暫時抹掉,原因見最后),郵件內容不多。
為看到完整郵件內容,我們可以點擊Save As存為X.eml,用outlook等郵件客戶端打開。
一看郵件,所有謎團都解開了。郵件內容就是一封“巧虎”的廣告垃圾郵件,該服務器被攻擊者控制創建了郵件服務器,用于垃圾郵件發送站。再用同樣的方法還原部分其它郵件:
可以看出郵件內容完全一樣,從前面圖中可看出短時間的監控中SMTP協議有幾十次會話,也就說發送了幾十次郵件,涉及郵箱幾百人。郵件中的域名http://url7.me/HnhV1打開后會跳轉至巧虎商品的廣告頁面。
1、該服務器經簡單探測,開放了TCP25/110/445/135/3389/139等大量高危端口,所以被攻擊控制是必然。
2、該服務器已被控制創建了肉雞郵件服務器(WinWebMail),[email protected],由61.158.163.126(河南省三門峽市)[email protected],通過郵件客戶端或專用軟件往外發送垃圾郵件。
3、簡單百度一下,[email protected],今天終于弄清了它的來龍去脈。
4、垃圾郵件發送不是隨便發的,是很有針對性的。巧虎是幼兒產品,從接受郵件的QQ號碼中隨便選取4位查詢資料發現發送對象可能都為年輕的爸爸媽媽。
申明:文章中出現IP、郵箱地址等信息均為安全監控、攻擊防范學習交流所用,切勿用于其它用途,否則責任自負。
對于后續文章內容,初步設計WireShark黑客發現之旅--暴力破解、端口掃描、Web漏洞掃描、Web漏洞利用、仿冒登陸、釣魚郵件、數據庫攻擊、郵件系統攻擊、基于Web的內網滲透等。但可能會根據時間、搭建實驗環境等情況進行略微調整。 (By:Mr.Right、K0r4dji)