<input id="eiiko"></input>
<menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • 一次命中可疑威胁情报的分析探索

    2019-03-20 343992人围观 ,发现 6 个不明物体 WEB安全

    0×0 背景

    由于最近一段时间里”驱动人生”这个病毒还挺热门,最近发现通过一些安全厂商的设备发现内网里面有大量的主机都中了这个病毒瞬间吓哭了。后续通过对主机进行检查,居然没有发现什?#27425;?#39064;,后续发现是安全设备命中了一个威胁情报的IP,通过对IP的分析发现这还有这种操作。

    0×1 过程

    然后?#19994;?#24405;上了安全设备去查看IP地址,安全设备提示为:120.52.51.13,作为安全小白通过各种收集定位到了freebuf的一篇文章结尾公布出来的IOC里面,同样的也有大佬在质疑这个IP是否真的有问题了。

    然后这边直接访问这个IP返回如下界面,看起来是缺了某一个?#38382;?#24863;觉也没有什么大问题,看起来也没有什么应用,就先借助于威胁情报查询一下了。

    通过对该IP的查询,提示为联通的IDC机房使用位于河北廊坊,威胁情报提示为僵尸主机。

    通过对微步在线的威胁情报进?#32961;?#35810;提示未知。

    再一次通过VT进行一下分析,这里面的内容就要丰富一些了,可以看到关联到了很多奇奇怪怪的URL和一些病毒样本,大多数时间点还是2019年2月到3?#36718;?#38388;的信息。

    在这些奇奇怪怪的URL当中可以还发现很多知名大公司的域名看着想是iqiyi的cdn,还是adobe的msp文件,看起来应该是的的确确的白域名才对。

    在白域名的同时也发现了一些黑的域名?#28909;鏰46.bluehero.in/download.exe。

    该样本为蠕虫病毒bulehero详细分析结果可以参考:

    0×3 测试

    仔细看了这些url发现有个特点跟在这个域名后的根目录的,都是网页路径于是大胆的猜想这个应该是实现了一个基础的跳转功能,原理应该类似URL的Redirect这种操作。

    大概的原理可能是这样至于为什么要这样玩,猜测原因可能如下:

    1. 绕过一些威胁情报的检测

    2. CDN的一些多节点加速下载访问之类的优化

    3. 流量代理或者劫持之类的

    鉴于很多知名厂商都有这?#20013;?#20026;,猜测CDN优化或者流量代理的可能性大一些。但是这些对于很多安全来说的也的确存在一些绕过的可能。毕竟这个IP服务器自己是没有什?#27425;?#39064;的。

    大致原理如下:

    后续找了一台主机自己测试一?#36335;?#38382;,结果的确是直接返回类似与Redirect,直接在浏览器当中返回了后续的网址的路径。输入www.baidu.com当前界面就直接跳转到百度。

    本地抓包?#37096;?#20102;一下发现本主机也是仅只与120.52.51.19建立了HTTP连接。

    通过对同网段的IP进?#32961;?#35797;发现都是存在同样的情况:

    120.52.51.13----- 120.52.51.20

    0×4 抓包检查

    由于没有拿到此web的具体实现的一些源码很多猜想也无法得到证实,于是在网关处进行抓包想看一下具体请求的URL定位到如下2个:

    120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/itbldiff_1914201800_1914201900.zip

    120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/crczdiff_1914002000_1914200400.zip

    通过对内存进行检查最后定位到趋势科技的产品的进程,看起来应该是升级包一类的操作吧。

    0×5 总结

    通过一些查询发现还是不少这样的IP服务器因为安全经验不足一时间也搞不清楚背后的套路,始?#31449;?#24471;有点诡异或者是什么新姿势,但是对主机进行检查又没有发现其他异常初步认为此次行为这就是个误报就算结案了还好是虚惊一场,不然又得加班几点搞了最近已经快吃不消了,祝愿各位IT大佬们少加班吧。

    *本文作者:si1ence,转载请注明来自FreeBuf.COM

    这些评论亮了

    • ?#26377;?#24050;出山 回复
      我来通俗解释一下楼主说的那个120.52.51.19的作用,这类主机的作用用作缓存加速,一般X通多一点。基本原理就是?#28909;?#20320;请求http://www.baidu.com/xx.gif这个?#35797;矗?#36825;时候如果你访问http://120.52.51.19/www.baidu.com/xx.gif,则51.19这台主机会主动请求下载xx.gif并保存在自己的服务器上,如果缓存时间够长,就是一个免费的图床,当然还有其他的玩法,通常这类主机能够直达国际互联网。
      )8( 亮了
    • 123 回复
      乱七八糟的,表达能力非常有待加强!
      )7( 亮了
    发表评论

    已有 6 条评论

    取消
    Loading...
    css.php 天津11选5开奖
    <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>