0x00 背景

肉雞也稱傀儡機，是指可以被黑客遠程控制的機器。一旦成為肉雞，就可以被攻擊者隨意利用，如：竊取資料、再次發(fā)起攻擊、破壞等等。下面將利用WireShark一起學習一種肉雞的用途：廣告垃圾郵件發(fā)送站。

0x01 發(fā)現問題

在對某企業(yè)服務器群進行安全檢測時發(fā)現客戶一臺服務器(10.190.214.130)存在異常，從其通信行為來看應該為一臺空閑服務器。 經過一段時間的抓包采集，對數據進行協議統(tǒng)計發(fā)現，基本均為SMTP協議。

 

 

 

 

SMTP協議為郵件為郵件傳輸協議。正常情況下出現此協議有兩種情況：

1、用戶發(fā)送郵件產生。

2、郵件服務器正常通信產生。

該IP地址屬于服務器，所以肯定非個人用戶利用PC機發(fā)送郵件。

那這是一臺郵件服務器?如果是，為什么僅有SMTP協議，POP3、HTTP、IMAP等等呢?

帶著疑問我們統(tǒng)計了一下數據的IP、端口等信息：

 

 

統(tǒng)計信息表明：所有通信均是與61.158.163.126(河南三門峽)產生的SMTP協議，且服務器(10.190.214.130)開放了TCP25端口，它的的確確是一臺郵件服務器。

到這，很多安全分析人員或監(jiān)控分析軟件就止步了。原因是IP合理、邏輯也合理、SMTP協議很少有攻擊行為，以為是一次正常的郵件通信行為。那么很可惜，你將錯過一次不大不小的安全威脅事件。

職業(yè)的敏感告訴我，它不是一臺合理的郵件服務器。這個時候需要用到應用層的分析，看一看它的通信行為。繼續(xù)看看SMTP登陸過程的數據。

 

 

從數據看出，郵箱登陸成功，右鍵Follow TCPStream可以看見完整登陸信息。

 

 

334 VXNlcm5hbWU6          // Base64解碼為：“Username:”  
YWRtaW4=  //用戶輸入的用戶名，Base Base64解碼為：“admin”  
334 UGFzc3dvcmQ6         //Base64解碼為：“Password:”  
YWRtaW4=  //用戶輸入的密碼，Base Base64解碼為：“admin”  
235 Authentication successful.  //認證成功  
MAIL FROM:<admin@system.mail  
/* <![CDATA[ */!function(){try{var t="currentScript"in document?document.currentScript:function(){for(var t=document.getElementsByTagName("script"),e=t.length;e--;)if(t[e].getAttribute("cf-hash"))return t[e]}();if(t&&t.previousSibling){var e,r,n,i,c=t.previousSibling,a=c.getAttribute("data-cfemail");if(a){for(e="",r=parseInt(a.substr(0,2),16),n=2;a.length-n;n+=2)i=parseInt(a.substr(n,2),16)^r,e+=String.fromCharCode(i);e=document.createTextNode(e),c.parentNode.replaceChild(e,c)}}}catch(u){}}();/* ]]> */>  //郵件發(fā)送自…… 

這段數據表明：61.158.163.126通過SMTP協議，使用用戶名admin、密碼admin，成功登陸郵件服務器10.190.214.30，郵件服務器的域名為@system.mail，且利用admin@system.mail發(fā)送郵件。

一看用戶名、密碼、郵箱，就發(fā)現問題了：

1、admin賬號一般不會通過互聯網登陸進行管理。

2、“二貨”管理員才會把admin賬號設為密碼。

3、域名@system.mail與客戶無任何關系。

很顯然，這是一臺被控制的郵件服務器—“肉雞郵件服務器”。

0x02 行為跟蹤

發(fā)現問題了，下一步跟蹤其行為，這個肉雞服務器到底是干什么的。查看Follow TCPStream完整信息可發(fā)現：這是一封由admin@system.mail群發(fā)的郵件，收件人包括：www651419067@126.com、wyq0204@yahoo.com.cn、zhaocl1@163.com等10個人(帶QQ的郵箱暫時抹掉，原因見最后)，郵件內容不多。

 

 

 

 

為看到完整郵件內容，我們可以點擊Save As存為X.eml，用outlook等郵件客戶端打開。

 

 

一看郵件，所有謎團都解開了。郵件內容就是一封“巧虎”的廣告垃圾郵件，該服務器被攻擊者控制創(chuàng)建了郵件服務器，用于垃圾郵件發(fā)送站。再用同樣的方法還原部分其它郵件：

 

 

 

 

可以看出郵件內容完全一樣，從前面圖中可看出短時間的監(jiān)控中SMTP協議有幾十次會話，也就說發(fā)送了幾十次郵件，涉及郵箱幾百人。郵件中的域名http://url7.me/HnhV1打開后會跳轉至巧虎商品的廣告頁面。

 

 

0x03 分析結論

1、該服務器經簡單探測，開放了TCP25/110/445/135/3389/139等大量高危端口，所以被攻擊控制是必然。

2、該服務器已被控制創(chuàng)建了肉雞郵件服務器(WinWebMail)，郵件服務器域名為@system.mail，由61.158.163.126(河南省三門峽市)使用admin@system.mail用戶登錄，通過郵件客戶端或專用軟件往外發(fā)送垃圾郵件。

3、簡單百度一下，很多人會經常收到來自admin@system.mail的垃圾郵件，今天終于弄清了它的來龍去脈。

4、垃圾郵件發(fā)送不是隨便發(fā)的，是很有針對性的。巧虎是幼兒產品，從接受郵件的QQ號碼中隨便選取4位查詢資料發(fā)現發(fā)送對象可能都為年輕的爸爸媽媽。

 

 

 

 

 

 

申明：文章中出現IP、郵箱地址等信息均為安全監(jiān)控、攻擊防范學習交流所用，切勿用于其它用途，否則責任自負。

0x04 后續(xù)文章初步設計

對于后續(xù)文章內容，初步設計WireShark黑客發(fā)現之旅--暴力破解、端口掃描、Web漏洞掃描、Web漏洞利用、仿冒登陸、釣魚郵件、數據庫攻擊、郵件系統(tǒng)攻擊、基于Web的內網滲透等。但可能會根據時間、搭建實驗環(huán)境等情況進行略微調整。 (By：Mr.Right、K0r4dji)