0×00 背景
肉雞也稱傀儡機,是指可以被黑客遠程控制的機器。一旦成爲肉雞,就可以被攻擊者隨意利用,如:竊取資料、再次發起攻擊、破壞等等。下面將利用WireShark一起學習一種肉雞的用途:廣告垃圾郵件發送站。
0×01 發現問題
在對某企業服務器羣進行安全檢測時發現客戶一臺服務器(10.190.214.130)存在異常,從其通信行爲來看應該爲一臺空閒服務器。 經過一段時間的抓包採集,對數據進行協議統計發現,基本均爲SMTP協議。
SMTP協議爲郵件爲郵件傳輸協議。正常情況下出現此協議有兩種情況:
1、用戶發送郵件產生。 2、郵件服務器正常通信產生。
該IP地址屬於服務器,所以肯定非個人用戶利用PC機發送郵件。
那這是一臺郵件服務器?如果是,爲什麼僅有SMTP協議,POP3、HTTP、IMAP等等呢?
帶着疑問我們統計了一下數據的IP、端口等信息:
統計信息表明:所有通信均是與61.158.163.126(河南三門峽)產生的SMTP協議,且服務器(10.190.214.130)開放了TCP25端口,它的的確確是一臺郵件服務器。
到這,很多安全分析人員或監控分析軟件就止步了。原因是IP合理、邏輯也合理、SMTP協議很少有攻擊行爲,以爲是一次正常的郵件通信行爲。那麼很可惜,你將錯過一次不大不小的安全威脅事件。
職業的敏感告訴我,它不是一臺合理的郵件服務器。這個時候需要用到應用層的分析,看一看它的通信行爲。繼續看看SMTP登陸過程的數據。
從數據看出,郵箱登陸成功,右鍵Follow TCPStream可以看見完整登陸信息。
334 VXNlcm5hbWU6 // Base64解碼爲:“Username:” YWRtaW4= //用戶輸入的用戶名,Base Base64解碼爲:“admin” 334 UGFzc3dvcmQ6 //Base64解碼爲:“Password:” YWRtaW4= //用戶輸入的密碼,Base Base64解碼爲:“admin” 235 Authentication successful. //認證成功 MAIL FROM:<[email protected]> //郵件發送自……
這段數據表明:61.158.163.126通過SMTP協議,使用用戶名admin、密碼admin,成功登陸郵件服務器10.190.214.30,郵件服務器的域名爲@system.mail,且利用[email protected]發送郵件。
一看用戶名、密碼、郵箱,就發現問題了:
1、admin賬號一般不會通過互聯網登陸進行管理。 2、“二貨”管理員纔會把admin賬號設爲密碼。 3、域名@system.mail與客戶無任何關係。
很顯然,這是一臺被控制的郵件服務器—“肉雞郵件服務器”。
0×02 行爲跟蹤
發現問題了,下一步跟蹤其行爲,這個肉雞服務器到底是幹什麼的。查看Follow TCPStream完整信息可發現:這是一封由[email protected]羣發的郵件,收件人包括:[email protected]、[email protected]、[email protected]等10個人(帶QQ的郵箱暫時抹掉,原因見最後),郵件內容不多。
爲看到完整郵件內容,我們可以點擊Save As存爲X.eml,用outlook等郵件客戶端打開。
一看郵件,所有謎團都解開了。郵件內容就是一封“巧虎”的廣告垃圾郵件,該服務器被攻擊者控制創建了郵件服務器,用於垃圾郵件發送站。再用同樣的方法還原部分其它郵件:
可以看出郵件內容完全一樣,從前面圖中可看出短時間的監控中SMTP協議有幾十次會話,也就說發送了幾十次郵件,涉及郵箱幾百人。郵件中的域名http://url7.me/HnhV1打開後會跳轉至巧虎商品的廣告頁面。
0×03 分析結論
1、該服務器經簡單探測,開放了TCP25/110/445/135/3389/139等大量高危端口,所以被攻擊控制是必然。 2、該服務器已被控制創建了肉雞郵件服務器(WinWebMail),郵件服務器域名爲@system.mail,由61.158.163.126(河南省三門峽市)使用[email protected]用戶登錄,通過郵件客戶端或專用軟件往外發送垃圾郵件。 3、簡單百度一下,很多人會經常收到來自[email protected]的垃圾郵件,今天終於弄清了它的來龍去脈。 4、垃圾郵件發送不是隨便發的,是很有針對性的。巧虎是幼兒產品,從接受郵件的QQ號碼中隨便選取4位查詢資料發現發送對象可能都爲年輕的爸爸媽媽。
申明:文章中出現IP、郵箱地址等信息均爲安全監控、攻擊防範學習交流所用,切勿用於其它用途,否則責任自負。