一次命中可疑威脅情報的分析探索
背景
由于最近一段時間里”驅(qū)動人生”這個病毒還挺熱門,最近發(fā)現(xiàn)通過一些安全廠商的設(shè)備發(fā)現(xiàn)內(nèi)網(wǎng)里面有大量的主機(jī)都中了這個病毒瞬間嚇哭了。后續(xù)通過對主機(jī)進(jìn)行檢查,居然沒有發(fā)現(xiàn)什么問題,后續(xù)發(fā)現(xiàn)是安全設(shè)備***了一個威脅情報的IP,通過對IP的分析發(fā)現(xiàn)這還有這種操作。
過程
然后我登錄上了安全設(shè)備去查看IP地址,安全設(shè)備提示為:120.52.51.13,作為安全小白通過各種收集定位到了freebuf的一篇文章結(jié)尾公布出來的IOC里面,同樣的也有大佬在質(zhì)疑這個IP是否真的有問題了。
然后這邊直接訪問這個IP返回如下界面,看起來是缺了某一個參數(shù)感覺也沒有什么大問題,看起來也沒有什么應(yīng)用,就先借助于威脅情報查詢一下了。
通過對該IP的查詢,提示為聯(lián)通的IDC機(jī)房使用位于河北廊坊,威脅情報提示為僵尸主機(jī)。
通過對微步在線的威脅情報進(jìn)行查詢提示未知。
再一次通過VT進(jìn)行一下分析,這里面的內(nèi)容就要豐富一些了,可以看到關(guān)聯(lián)到了很多奇奇怪怪的URL和一些病毒樣本,大多數(shù)時間點還是2019年2月到3月之間的信息。
在這些奇奇怪怪的URL當(dāng)中可以還發(fā)現(xiàn)很多知名大公司的域名看著想是iqiyi的cdn,還是adobe的msp文件,看起來應(yīng)該是的的確確的白域名才對。
在白域名的同時也發(fā)現(xiàn)了一些黑的域名比如a46.bluehero.in/download.exe。
該樣本為蠕蟲病毒bulehero詳細(xì)分析結(jié)果可以參考:https://s.tencent.com/research/report/514.html。
測試
仔細(xì)看了這些url發(fā)現(xiàn)有個特點跟在這個域名后的根目錄的,都是網(wǎng)頁路徑于是大膽的猜想這個應(yīng)該是實現(xiàn)了一個基礎(chǔ)的跳轉(zhuǎn)功能,原理應(yīng)該類似URL的Redirect這種操作。
大概的原理可能是這樣至于為什么要這樣玩,猜測原因可能如下:
- 繞過一些威脅情報的檢測
- CDN的一些多節(jié)點加速下載訪問之類的優(yōu)化
- 流量代理或者劫持之類的
鑒于很多知名廠商都有這種行為,猜測CDN優(yōu)化或者流量代理的可能性大一些。但是這些對于很多安全來說的也的確存在一些繞過的可能。畢竟這個IP服務(wù)器自己是沒有什么問題的。
大致原理如下:
后續(xù)找了一臺主機(jī)自己測試一下訪問,結(jié)果的確是直接返回類似與Redirect,直接在瀏覽器當(dāng)中返回了后續(xù)的網(wǎng)址的路徑。輸入www.baidu.com當(dāng)前界面就直接跳轉(zhuǎn)到百度。
本地抓包也看了一下發(fā)現(xiàn)本主機(jī)也是僅只與120.52.51.19建立了HTTP連接。
通過對同網(wǎng)段的IP進(jìn)行測試發(fā)現(xiàn)都是存在同樣的情況:
- 120.52.51.13----- 120.52.51.20
抓包檢查
由于沒有拿到此web的具體實現(xiàn)的一些源碼很多猜想也無法得到證實,于是在網(wǎng)關(guān)處進(jìn)行抓包想看一下具體請求的URL定位到如下2個:
- 120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/itbldiff_1914201800_1914201900.zip
- 120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/crczdiff_1914002000_1914200400.zip
通過對內(nèi)存進(jìn)行檢查***定位到趨勢科技的產(chǎn)品的進(jìn)程,看起來應(yīng)該是升級包一類的操作吧。
總結(jié)
通過一些查詢發(fā)現(xiàn)還是不少這樣的IP服務(wù)器因為安全經(jīng)驗不足一時間也搞不清楚背后的套路,始終覺得有點詭異或者是什么新姿勢,但是對主機(jī)進(jìn)行檢查又沒有發(fā)現(xiàn)其他異常初步認(rèn)為此次行為這就是個誤報就算結(jié)案了還好是虛驚一場,不然又得加班幾點搞了最近已經(jīng)快吃不消了,祝愿各位IT大佬們少加班吧。
