使用 ZoomEye 寻找 APT 攻击的蛛丝马迹

最新推荐文章于 2024-04-21 23:29:35 发布
VIP文章 最新推荐文章于 2024-04-21 23:29:35 发布
阅读量458 收藏
点赞数
文章标签: 开发工具 搜索引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/106354902
版权

作者:Heige(a.k.a Superhei) of KnownSec 404 Team
时间:2020年5月25日
原文链接:https://paper.seebug.org/1219/
英文链接:https://paper.seebug.org/1220/

今年一月发布的ZoomEye 2020里上线了ZoomEye的历史数据查询API接口,这个历史数据接口还是非常有价值的,这里就介绍我这几天做的一些尝试追踪APT的几个案例。

在开始之前首先你需要了解ZoomEye历史api接口的使用,参考文档:https://www.zoomeye.org/doc#history-ip-search 这里可以使用的是ZoomEye SDK https://github.com/knownsec/ZoomEye 另外需要强调说明下的是:ZoomEye线上的数据是覆盖更新的模式,也就是说第2次扫描如果没有扫描到数据就不会覆盖更新数据,ZoomEye上的数据会保留第1次扫描获取到的banner数据,这个机制在这种恶意攻击溯源里其实有着很好的场景契合点:恶意攻击比如Botnet、APT等攻击使用的下载服务器被发现后一般都是直接停用抛弃,当然也有一些是被黑的目标,也是很暴力的直接下线!所以很多的攻击现场很可能就被ZoomEye线上缓存。

当然在ZoomEye历史api里提供的数据,不管你覆盖不覆盖都可以查询出每次扫描得到的banner数据,但是目前提供的ZoomEye历史API只能通过IP去查询,而不能通过关键词匹配搜索,所以我们需要结合上面提到的ZoomEye线上缓存数据搜索定位配合使用。

案例一:Darkhotel APT

在前几天其实我在“黑科技”知识星球里提到了,只是需要修复一个“bug”:这次Darkhotel使用的IE 0day应该是CVE-2019-1367 而不是CVE-2020-0674(感谢廋肉丁@奇安信),当然这个“bug”不影响本文的主题。

在这里插入图片描述

从上图可以看出我们通过ZoomEye线上数据定位到了当时一个Darkhotel水坑攻击现场IP,我们使用ZoomEye SDK查询这个IP的历史记录:

╭─heige@404Team ~
╰─$python                                                                                                                                    
Python 2.7.16 (default, Mar 15 2019, 21:13:51)
[GCC 4.2.1 Compatible Apple LLVM 10.0.0 (clang-1000.11.45.5)] on darwin
Type "help", "copyright", "credits" or "license" for more information.
 import zoomeye
 zm = zoomeye.ZoomEye(username="xxxxx", password="xxxx")
 zm.login()
 u'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpX...'
 data = zm.history_ip("202.x.x.x")
 22

列举ZoomEye历史数据里收录这个IP数据的时间节点及对应端口服务

 ...
 >>>for i in data['data']:
 ...     print(i['timestamp'],i['portinfo']['port'])
 ...
 (u'2020-01-28T10:58:02', 80)
 (u'2020-01-05T18:33:17', 80)
 (u'2019-11-25T05:27:58', 80)
 (u'2019-11-02T16:10:40', 80)
 (u'2019-10-31T11:39:02', 80)
 (u'2019-10-06T05:24:44', 80)
 (u'2019-08-02T09:52:27', 80)
 (u'2019-07-27T19:22:11', 80)
 (u'2019-05-18T10:38:59', 8181)
 (u'2019-05-02T19:37:20', 8181)
 (u'2019-05-01T00:48:05', 8009)
 (u'2019-04-09T16:29:58', 8181)
 (u'2019-03-24T20:46:31', 8181)
 (u'2018-05-18T18:22:21', 137)
 (u'2018-02-22T20:50:01', 8181)
 (u'2017-03-13T03:11:39', 8181)
 (u'2017-03-12T16:43:54', 8181)
 (u'2017-02-25T09:56:28', 137)
 (u'2016-11-01T00:22:30', 137)
 (u'2015-12-30T22:53:17', 8181)
 (u'2015-03-13T20:17:45', 8080)
 (u'2015-03-13T19:33:15', 21)

我们再看看被植入IE 0day的进行水坑攻击的时间节点及端口:

>>> for i in data['data']:
 ...     if
最低0.47元/天 解锁文章
晓得哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
新型APT攻击方式解析
11-22
新型APT攻击方式解析
【自写信息搜集工具】ThunderSearch开发原理解析
qq_35664104的博客
01-22 641
前段时间结合zoomeye的开发文档做了个简易的信息搜集工具ThunderSearch【项目地址 / 博客地址】,这次来讲讲具体的实现原理和开发思路 首先要能看懂开发文档,https://www.zoomeye.org/doc#user,上面介绍了一些api的使用。我们只需要调用我们想要的api就可以获取到想要的数据。 1. 登陆 根据文档,登陆方式分为两种,api-key和账号/密码,我这里使用了账号密码登陆的方式,主要是获取api-key需要登陆到网页比较麻烦。登陆的目的是为了拿到access-to.
120+款常用网络安全工具介绍及对应获取地址--持续更新
网络安全
12-13 1693
Source Insight是一个强大的面向项目的编程编辑器、代码浏览器和分析器,通过工程的管理可实现多文件代码中的变量、函数的快速定位和搜索,并且对每个打开的源代码中的变更和函数的程序语句进行彩色显示等功能。是一种简单的bash脚本,用于搜索提取或挂载的固件文件系统中可能感兴趣的内容,如/etc/shadwo,/etc/passwd,/etc/ssl目录,SSL相关文件如.pem,.crt,配置文件,脚本文件,其他bin文件,admin,password等关键词,服务器,URL,IP地址等。
python-网络安全编程第九天(json模块、zoomeye采集)
笑花大王
02-06 222
前言 emmm python-JSON模块 JSON JSON(JavaScriptObject Notation, JS 对象简谱) 是一种轻量级的数据交换格式。它基于ECMAScript(欧洲计算机协会制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析...
干货|红队渗透工具集(一)
weixin_46211944的博客
07-14 1007
功能包括域名ip历史解析、nmap常见端口爆破、子域名信息收集、旁站信息收集、whois信息收集、网站架构分析、cms解析、备案号信息收集、CDN信息解析、是否存在waf检测、后台寻找以及生成检测结果html报告表等。项目地址https//github.com/xzajyjs/ThunderSearch。项目地址https//github.com/r0eXpeR/redteam-tools。项目地址https//github.com/0x90/rdp-arsenal。支持查询用户个人信息。...
fastjson反序列化0day漏洞分析
bluemoon_0的博客
01-10 411
fastjson反序列化0day漏洞分析
ZoomEye API 调用
spkiddai
08-25 1776
ZoomEye API调用: #!/usr/bin/env python # -*- coding:utf-8 -*- """ Author spkiddai """ import json import requests import configparser class ZoomEyeUnit(): def __init__(self): self.config = self.read_config()#读取配置文件配置 self.headers =
网络安全一哥的奇安信发布了全球高级可持续威胁年度报告 值得学习
securitypaper的博客
01-01 4098
奇安信威胁雷达是奇安信威胁情报中心基于奇安信大网数据和威胁情报中心失陷检测(IOC)库,用于监控全境范围内疑似被APT组织、各类僵木蠕控制的网络资产的一款威胁情报SaaS应用。通过整合奇安信的高、中位威胁情报能力,发现指定区域内疑似被不同攻击组织或恶意软件控制的主机IP,了解不同威胁类型的比例及被控主机数量趋势等。可进一步协助排查重点资产相关的APT攻击线索。
漏洞预警 | Fastjson远程代码执行0day漏洞
程序IT圈
07-25 240
点击上方“程序IT圈”,选择“置顶公众号”每天早晨8点50分,第一时间送达!本文整理于阿里社区前段时间,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞...
ZoomEye爬虫脚本
06-14
# getZoomEye ## * 目的: 从 https://www.zoomeye.org/ 网站抓取数据 ## * 使用方法: 1. 安装依赖库selenium ,下载webdriver并配置环境变量 2. 修改配置文件config.ini query=#搜索的关键字 pagenum=#抓取的页数 type=#抓取的类型,填写web 或host 3.运行getZoomeye.py ## * 其它: zoomeye在未登录状态下,仅显示十页内容 chrome driver 下载地址 :http://chromedriver.storage.googleapis.com/index.html?path=2.22/
fastjson1.2.8
03-17
截至2016-03-17 最新版fastjson包 亲测可用。
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
电力系统防护APT攻击课题.pptx
04-07
01 电力系统遭受APT攻击挑战 02 电力系统防护APT攻击方案 03 APT防护关键技术 04 防护APT攻击方案研究
APT攻击预警技术方案.doc
12-26
APT攻击预警技术方案.
360企业安全报告,APT攻击报告
11-15
近些年高级持续性威胁报告,企业的一些安全性报告,一些APT组织的活动总结(包括摩柯草,美人鱼,蓝蘑菇,震荡波,人面狮永恒之蓝等)内含几十篇报告文档,资料翔实。
安恒信息明御APT攻击预警平台配置手册产品白皮书
05-13
安恒信息明御APT攻击预警平台配置手册产品白皮书
PaddleOCRV4训练自己的模型(4)------模型推理及导出
最新发布
m0_48095841的博客
04-21 721
(2)配置运行参数,这个py文件在代码里面的rec_char_dict_path参数默认是./ppocr/utils/ppocr_keys_v1.txt,用cmd窗口跑的话可能没问题,但是用pycharm来跑的话会报错找不到这个文件。(1)在训练Rec的时候是只对文字部分进行训练的,推理的时候如果输入整图,推理时间可能会增加,效果可能也会下降(没测试过) infer_rec.py的输出结果是一个TXT文件,一行对应每一张图的输出结果。因为训练定位模型的时候是整图训练,所以推理的时候也是整图推理。
初识LangChain: LLM大模型与AI应用的粘合剂
Box_clf的博客
04-20 468
高级的接近人类语言的编程语言,易于学习动态语言直译式语言,可以跳过编译逐行执行代码广泛应用于web应用、软件、数据科学和机器学习Al方向的主流语言活跃的python社区数据巨大且丰富的库安装Python版本管理工具, pyenv 可以管理多个 python 的版本。安装Python3.11升级pip# 安装jupyter# 启动jupyter安装jupyter-lab# 安装# 启动界面。
apt攻击会推动哪些技术创新
07-08
APT(高级持续性威胁)攻击是一种针对特定目标的高度复杂和持久的网络攻击。这种攻击形式对于网络安全领域的技术创新起着推动作用,促使人们开发新的防御措施和解决方案。以下是一些技术创新领域,受到APT攻击的推动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值