真假finalshell-仿冒木马钓鱼溯源小记

2025年4月7日11:38:41评论50 views字数 741阅读2分28秒阅读模式

前言

本地钓鱼攻击，大概率是针对运维人员的，finalshell 的官网一直没有换过样式，大家注意甄别钓鱼网站

正片开始

先看官网

http://hostbuf.com/

再看仿冒伪劣木马

https://finalshell.cn/

胆子是真大啊，拿 cn 做.......

我还想下个 macOS 版本看看，没想到直接给我下载 exe 了

再一看是 cn 域名，好家伙

whois 一下域名，姓名邮箱直接出来了（CNNIC 并不免费提供 WHOIS 信息保护，这也就是为啥 cn域名便宜）

搜一下，真实无恶不作啊

然后搜一下这个 whois 的邮箱，发现好多假冒伪劣网站，甚至还有针对网安人员专属的（0day.cn≈0ray.cn）

可以拿资产测绘平台查看这个域名往期都干了什么

然后拖到微步里面

地址：

https://s.threatbook.com/report/file/143843a023169f0ded6cd4abb5c9c6d5217ec83ff090d0613ee39603e9a30f7f?sign=history&env=win10_1903_enx64_office2016

得到 host 地址

这个应该是 C2 服务器的地址

扫描发现，就一个 54 端口

nc 连接，发现是 xns-ch(XNS Clearinghouse 施乐网络服务系统票据交换验证，百度看了一圈，没啥能用的)

总结 IOC

bossex.trc.tws1.star1ine.com38.46.10.130

处置建议：封禁双向出口

广告时间～

qaxHVV 研判，常态化，简历收集，只收研判！http://zp.runctf.cn/s/evg1L9安全证书考证咨询+ Admin_Ran(备注考证)

原文始发于微信公众号（知攻善防实验室）：真假finalshell-仿冒木马钓鱼溯源小记

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

2025-4月Solar应急响应公益月赛排名及官方题解