背景由于近期“司机人生”病毒比较流行,近期通过一些安全厂商的设备发现内网大量主机被该病毒感染.哭了。随后对主机的检查没有发现任何问题。后来发现安全设备破解了一个威胁情报IP。通过IP分析,发现还是有这样的操作。在此过程中,我登录安全设备查看IP地址。安全设备提示为:120.52.51.13。作为一个安全小白,我通过各种搜集,找到了freebuf中一篇文章末尾发布的IOC。质疑这个IP是不是真的有问题。然后直接在这里访问这个IP,返回如下界面。好像少了某个参数也没什么大问题,好像也没什么应用。让我们首先借助威胁情报进行检查。通过对该IP的查询,提示中国联通IDC机房位于河北廊坊,威胁情报显示为僵尸主机。通过查询微步在线的威胁情报,提示未知。我们再通过VT来分析一下。这里的内容会更加丰富。可以看到有很多奇怪的网址,还关联了一些病毒样本。大部分时间点都是2019年2月到3月之间的信息。。在这些千奇百怪的网址中,还可以找到很多知名大公司的域名。好像是爱奇艺的CDN,或者adobe的msp文件。看来应该是真正的白域名了。除了白色域名外,还发现了一些黑色域名,例如a46.bluehero.in/download.exe。样本是蠕虫病毒bulehero。详细分析结果请参考:https://s.tencent.com/research/report/514.html。测试仔细看了这些url,发现域名的根目录后面有一个特征,就是网页的路径,于是大胆猜测,这应该是实现了一个基本的跳转功能,原理应该是类似于URL重定向操作。大概的原理可能是这样的。至于为什么要这样玩,原因可能有以下几点:绕过一些威胁情报检测,一些多节点CDN加速下载访问,优化流量代理或者劫持等。鉴于很多知名厂商都有这样的种行为,猜测CDN优化或者流量代理的可能性更大。但是这些确实有一些绕过很多安全性的可能性。毕竟IP服务器本身并没有什么问题。大致原理是这样的:后来自己找了一个主机测试访问,结果是直接返回一个类似于Redirect的路径,在浏览器中直接返回后续URL的路径。在当前界面输入www.baidu.com直接跳转到百度。又看了下本地抓包,发现这台主机只和120.52.51.19建立了HTTP连接。通过测试同网段的IP,发现也存在同样的情况:120.52.51.13-----120.52.51.20抓包检查由于我没有得到这个web具体实现的一些源码,很多推测无法证实。于是在网关抓包想看具体请求的URL定位到下面两个:120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/itbldiff_1914201800_1914201900.zip120.52.51。13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/crczdiff_1914002000_1914200400.zip查了内存终于定位到趋势科技产品的进程,看来应该是升级包操作.综上所述,通过一些查询,我们发现由于缺乏安全经验,这样的IP服务器还有很多,一时想不通背后的套路。总觉得有点怪怪的或者是新姿势,但是检查了一下主机,没有发现其他异常。我最初认为,这次的这种行为是虚惊一场。即使结案,也是虚惊一场。否则,我将不得不加班。最近几乎太多了。祝所有IT大佬少加班。
