在态势感知上报毒——目的IP:42.194.250.177的80端口。报毒名称为CobaltStrike 远控木马活动事件,这个情况发生在已经封禁掉源IP和目的IP的前提下,所以让人百思不得其解。然后我登上了我的kali访问了这个目的IP的80端口,嘿!您猜怎么着?!
这不是明摆着,欢迎您的到来嘛!这我不就来了嘛,
Dir扫描http://42.194.250.177,这一扫就出来好东西——
贺!这不就来了嘛,一一打开这个扫描得到的目录发现了有趣的东西
和开心消消乐的官网地址。
最后测试一下触发这个态势感知的原因——
下载网址中的开心消消乐,把手机连到内网,卡,过了一会,态势感知嘎嘎报CS木马。在去态势感知查看两次报毒的五元组信息发现荷载是一模一样的,目的IP地址的归属地也是一样的,而且我一查域名发现42.194.250.177的域名是跟开心消消乐的服务器归属地一样的。由此可以排查到这个42.194.250.177IP的报毒原因和引起报毒的“木马”是什么了。