0×00 背景

肉雞也稱傀儡機，是指可以被黑客遠程控制的機器。一旦成爲肉雞，就可以被攻擊者隨意利用，如：竊取資料、再次發起攻擊、破壞等等。下面將利用WireShark一起學習一種肉雞的用途：廣告垃圾郵件發送站。

0×01 發現問題

在對某企業服務器羣進行安全檢測時發現客戶一臺服務器（10.190.214.130）存在異常，從其通信行爲來看應該爲一臺空閒服務器。經過一段時間的抓包採集，對數據進行協議統計發現，基本均爲SMTP協議。

SMTP協議爲郵件爲郵件傳輸協議。正常情況下出現此協議有兩種情況：

1、用戶發送郵件產生。
2、郵件服務器正常通信產生。

該IP地址屬於服務器，所以肯定非個人用戶利用PC機發送郵件。

那這是一臺郵件服務器？如果是，爲什麼僅有SMTP協議，POP3、HTTP、IMAP等等呢？

帶着疑問我們統計了一下數據的IP、端口等信息：

統計信息表明：所有通信均是與61.158.163.126（河南三門峽）產生的SMTP協議，且服務器（10.190.214.130）開放了TCP25端口，它的的確確是一臺郵件服務器。

到這，很多安全分析人員或監控分析軟件就止步了。原因是IP合理、邏輯也合理、SMTP協議很少有攻擊行爲，以爲是一次正常的郵件通信行爲。那麼很可惜，你將錯過一次不大不小的安全威脅事件。

職業的敏感告訴我，它不是一臺合理的郵件服務器。這個時候需要用到應用層的分析，看一看它的通信行爲。繼續看看SMTP登陸過程的數據。

從數據看出，郵箱登陸成功，右鍵Follow TCPStream可以看見完整登陸信息。

334 VXNlcm5hbWU6          // Base64解碼爲：“Username:”
YWRtaW4=  //用戶輸入的用戶名，Base Base64解碼爲：“admin”
334 UGFzc3dvcmQ6         //Base64解碼爲：“Password:”
YWRtaW4=  //用戶輸入的密碼，Base Base64解碼爲：“admin”
235 Authentication successful.  //認證成功
MAIL FROM:<[email protected]>  //郵件發送自……

這段數據表明：61.158.163.126通過SMTP協議，使用用戶名admin、密碼admin，成功登陸郵件服務器10.190.214.30，郵件服務器的域名爲@system.mail，且利用[email protected]發送郵件。

一看用戶名、密碼、郵箱，就發現問題了：

1、admin賬號一般不會通過互聯網登陸進行管理。 2、“二貨”管理員纔會把admin賬號設爲密碼。 3、域名@system.mail與客戶無任何關係。

很顯然，這是一臺被控制的郵件服務器—“肉雞郵件服務器”。

0×02 行爲跟蹤

發現問題了，下一步跟蹤其行爲，這個肉雞服務器到底是幹什麼的。查看Follow TCPStream完整信息可發現：這是一封由[email protected]羣發的郵件，收件人包括：[email protected]、[email protected]、[email protected]等10個人（帶QQ的郵箱暫時抹掉，原因見最後），郵件內容不多。

爲看到完整郵件內容，我們可以點擊Save As存爲X.eml，用outlook等郵件客戶端打開。

一看郵件，所有謎團都解開了。郵件內容就是一封“巧虎”的廣告垃圾郵件，該服務器被攻擊者控制創建了郵件服務器，用於垃圾郵件發送站。再用同樣的方法還原部分其它郵件：

可以看出郵件內容完全一樣，從前面圖中可看出短時間的監控中SMTP協議有幾十次會話，也就說發送了幾十次郵件，涉及郵箱幾百人。郵件中的域名http://url7.me/HnhV1打開後會跳轉至巧虎商品的廣告頁面。

0×03 分析結論

1、該服務器經簡單探測，開放了TCP25/110/445/135/3389/139等大量高危端口，所以被攻擊控制是必然。 2、該服務器已被控制創建了肉雞郵件服務器（WinWebMail），郵件服務器域名爲@system.mail，由61.158.163.126（河南省三門峽市）使用[email protected]用戶登錄，通過郵件客戶端或專用軟件往外發送垃圾郵件。 3、簡單百度一下，很多人會經常收到來自[email protected]的垃圾郵件，今天終於弄清了它的來龍去脈。 4、垃圾郵件發送不是隨便發的，是很有針對性的。巧虎是幼兒產品，從接受郵件的QQ號碼中隨便選取4位查詢資料發現發送對象可能都爲年輕的爸爸媽媽。