一次命中可疑威胁情报的分析探索
|
副问题[/!--empirenews.page--]
配景 因为最近一段时刻里”驱感人生”这个病毒还挺热点,最近发明通过一些安详厂商的装备发明内网内里有大量的主机都中了这个病毒刹时吓哭了。后续通过对主机举办搜查,居然没有发明什么题目,后续发明是安详装备掷中了一个威胁谍报的IP,通过对IP的说明发明这尚有这种操纵。 进程 然后我登录上了安详装备去查察IP地点,安详装备提醒为:120.52.51.13,作为安详小白通过各类网络定位到了freebuf的一篇文章末了发布出来的IOC内里,同样的也有大佬在质疑这个IP是否真的有题目了。
然后这边直接会见这个IP返回如下界面,看起来是缺了某一个参数感受也没有什么大题目,看起来也没有什么应用,就先借助于威胁谍报查询一下了。 通过对该IP的查询,提醒为联通的IDC机房行使位于河北廊坊,威胁谍报提醒为僵尸主机。 通过对微步在线的威胁谍报举办查询提醒未知。 再一次通过VT举办一下说明,这内里的内容就要富厚一些了,可以看到关联到了许多奇稀疏怪的URL和一些病毒样本,大大都时刻点照旧2019年2月到3月之间的信息。 在这些奇稀疏怪的URL傍边可以还发明许多知名大公司的域名看着想是iqiyi的cdn,照旧adobe的msp文件,看起来应该是的简直确的白域名才对。 在白域名的同时也发明白一些黑的域名好比a46.bluehero.in/download.exe。 该样本为蠕虫病毒bulehero具体说明功效可以参考:https://s.tencent.com/research/report/514.html。 测试 细心看了这些url发明有个特点跟在这个域名后的根目次的,都是网页路径于是斗胆的意料这个应该是实现了一个基本的跳转成果,道理应该相同URL的Redirect这种操纵。 或许的道理也许是这样至于为什么要这样玩,揣摩缘故起因也许如下:
鉴于许多知名厂商都有这种举动,揣摩CDN优化可能流量署理的也许性大一些。可是这些对付许多安详来说的也简直存在一些绕过的也许。事实这个IP处事器本身是没有什么题目的。 大抵道理如下: 后续找了一台主机本身测试一下会见,功效简直是直接返回相同与Redirect,直接在赏识器傍边返回了后续的网址的路径。输入www.baidu.com当前界面就直接跳转到百度。 当地抓包也看了一下发明本主机也是仅只与120.52.51.19成立了HTTP毗连。 通过对同网段的IP举办测试发明都是存在同样的环境:
抓包搜查 因为没有拿到此web的详细实现的一些源码许多意料也无法获得证实,于是在网关处举办抓包想看一下详细哀求的URL定位到如下2个:
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
