感谢腾讯御见威胁情报中心来稿！

近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具，爆破成功后会在windows/Linux平台植入后门腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷，包括2个针对Linux系统的DDoS僵尸网络木马billgates及一个针对windows系統的后门窃密木马

该黑产团伙的主要特点:

近期被解析指向的多个IP，实际上也是同一台机器设备:

我们在这台HFS服务器上发现多个黑客工具包包括3389抓鸡工具包、 红尘网安1433工具包，Linux爆破工具、3306抓鸡、SA弱口令、1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等
部分黑客笁具包及说明:

3389抓鸡工具包为远程桌面爆破工具，内置了爆破密码字典:

红尘网安1433工具包及3306工具包主要是针对mysql及sqlsver进行弱密码爆破:

三、Billgates僵尸网络朩马分析

该团伙针对攻陷的Linux服务器会***Billgate僵尸网络木马Billgates僵尸网络最早出现在2014年，是最为活跃的僵尸网络家族之一曾多次被安全厂商披露，在本案例中Billgates bot通过生成器生成可配置ip/域名及端口。

Billgates Bot在多个目录创建了自启动脚本及文件包括在自启动目录:1999