0x0 背景
由于最近一段时间里”驱动人生”这个病毒还挺热门,最近发现通过一些安全厂商的设备发现内网里面有大量的主机都中了这个病毒瞬间吓哭了。后续通过对主机进行检查,居然没有发现什么问题,后续发现是安全设备命中了一个威胁情报的IP,通过对IP的分析发现这还有这种操作。
0x1 过程
然后我登录上了安全设备去查看IP地址,安全设备提示为:120.52.51.13,作为安全小白通过各种收集定位到了freebuf的一篇文章结尾公布出来的IOC里面,同样的也有大佬在质疑这个IP是否真的有问题了。
然后这边直接访问这个IP返回如下界面,看起来是缺了某一个参数感觉也没有什么大问题,看起来也没有什么应用,就先借助于威胁情报查询一下了。
通过对该IP的查询,提示为联通的IDC机房使用位于河北廊坊,威胁情报提示为僵尸主机。
通过对微步在线的威胁情报进行查询提示未知。
再一次通过VT进行一下分析,这里面的内容就要丰富一些了,可以看到关联到了很多奇奇怪怪的URL和一些病毒样本,大多数时间点还是2019年2月到3月之间的信息。
在这些奇奇怪怪的URL当中可以还发现很多知名大公司的域名看着想是iqiyi的cdn,还是adobe的msp文件,看起来应该是的的确确的白域名才对。
在白域名的同时也发现了一些黑的域名比如a46.bluehero.in/download.exe。
该样本为蠕虫病毒bulehero详细分析结果可以参考:https://s.tencent.com/research/report/514.html。
0x3 测试
仔细看了这些url发现有个特点跟在这个域名后的根目录的,都是网页路径于是大胆的猜想这个应该是实现了一个基础的跳转功能,原理应该类似URL的Redirect这种操作。
大概的原理可能是这样至于为什么要这样玩,猜测原因可能如下:
1. 绕过一些威胁情报的检测
2. CDN的一些多节点加速下载访问之类的优化
3. 流量代理或者劫持之类的
鉴于很多知名厂商都有这种行为,猜测CDN优化或者流量代理的可能性大一些。但是这些对于很多安全来说的也的确存在一些绕过的可能。毕竟这个IP服务器自己是没有什么问题的。
大致原理如下:
后续找了一台主机自己测试一下访问,结果的确是直接返回类似与Redirect,直接在浏览器当中返回了后续的网址的路径。输入www.baidu.com当前界面就直接跳转到百度。
本地抓包也看了一下发现本主机也是仅只与120.52.51.19建立了HTTP连接。
通过对同网段的IP进行测试发现都是存在同样的情况:
120.52.51.13----- 120.52.51.20
0x4 抓包检查
由于没有拿到此web的具体实现的一些源码很多猜想也无法得到证实,于是在网关处进行抓包想看一下具体请求的URL定位到如下2个:
120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/itbldiff_1914201800_1914201900.zip
120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/crczdiff_1914002000_1914200400.zip
通过对内存进行检查最后定位到趋势科技的产品的进程,看起来应该是升级包一类的操作吧。
0x5 总结
通过一些查询发现还是不少这样的IP服务器因为安全经验不足一时间也搞不清楚背后的套路,始终觉得有点诡异或者是什么新姿势,但是对主机进行检查又没有发现其他异常初步认为此次行为这就是个误报就算结案了还好是虚惊一场,不然又得加班几点搞了最近已经快吃不消了,祝愿各位IT大佬们少加班吧。
*本文作者:si1ence,转载请注明来自FreeBuf.COM