原创 Paper | 使用 ZoomEye 平台 进行 C2 资产拓线

主要观点总结

本文基于推特社交平台上的C2 IP地址及相关文件信息，使用ZoomEye网络空间搜索引擎进行C2资产拓线，发现了属于同一黑客组织的四个IP地址。通过对这些IP服务器上的木马程序进行分析，揭示了黑客组织的攻击手法和特征。

关键观点总结

关键观点1: 使用ZoomEye平台进行C2资产拓线

通过推特社交平台上的C2 IP地址线索，使用ZoomEye网络空间搜索引擎进行资产拓线，发现了四个属于同一黑客组织的IP地址。

关键观点2: 木马文件分析和行为特征

对这些IP服务器上的木马程序进行分析，发现它们都是CobaltStrike和Metasploit的木马，具备Apache Bench的特征信息。木马文件命名和行为特征一致，表明黑客组织使用大众化的攻击工具达成目标。

关键观点3: 黑客组织活动状态和分工情况

通过分析发现该黑客组织处于活跃状态，涉及的服务器资产目前处于使用状态且频繁更新文件。整个组织体系分工明确，使用RAAS化服务，表明原有黑客炫技行为降低，朝着低门槛、大众化方向发展。

关键观点4: 提供IOC列表和IP地址

文章最后提供了相关的IOC列表和具体的IP地址，以便进一步的研究和调查。

免责声明