由于最近流行的“Drive Life”病毒，最近发现通过许多安全供应商的设备，内部网上有大量主机正处于此病毒之中。对主持人的后续检查没有发现任何问题。随后的发现是安全设备击中威胁情报的IP。通过IP分析发现存在这样的操作。
处理
然后我登录安全设备检查IP地址。安全设备提示：120.52.51.13。作为安全白，我在freebuf收集的文章末尾发布的IOC中收集了它。同样也是一个大问题。这个IP真的有问题吗？
然后直接将此IP直接返回到以下界面，似乎在没有某个参数的情况下没有大问题，并且似乎没有应用程序，因此首先使用威胁情报来查询它。
通过对IP的查询，联通IDC机房的提示位于河北廊坊，僵尸主机提示威胁情报。
无法在线查询微步的威胁信息。
再一次，通过VT，内容更丰富。您可以看到有很多奇怪的URL和一些病毒样本。大部分时间仍然是2019年2月至3月。
在这些奇怪的URL中，您还可以找到许多知名大公司的域名，这些公司正在查看iqiyi的青色或Adobe的msp文件，这似乎是正确的白色域名。
在白色域名中，还找到了一些黑色域名，例如a46.bluehero.in/download.exe。
蠕虫bulehero样本的详细分析可以在以下网址找到：https://s.tencent.com/research/report/514.html。
测试
仔细看看这些url发现域名后根目录中有一个功能，是web路径然后粗体猜测这应该是一个基本的跳转功能，原理应该类似于URL Redirect操作。
一般原则可能是这样的。你为什么想这样玩？猜测的原因可能如下：
绕过一些威胁情报的检测
优化CDN的多节点加速下载访问交通代理或劫持
鉴于许多知名供应商的行为，它更有可能猜测CDN优化或流量代理。但出于许多安全原因，有一些绕过的可能性。毕竟，这个IP服务器不是问题。
一般原则如下：
其次是主机测试自己的访问权限，结果确实直接返回类似于Redirect，直接返回浏览器中后续URL的路径。进入www.baidu.com的当前界面，直接跳转到百度。
本地捕获包也查看了它，发现主机只与120.52.51.19建立了HTTP连接。
通过测试同一网段的IP，发现存在相同的情况：
120.52.51.13 ----- 120.52.51.20
数据包捕获检查
由于此Web的特定实现的某些源代码尚未得到确认，因此无法确认许多猜测，因此网关上的捕获需要查看特定请求的URL以找到以下两个：
120.52.51.13: 80/osce11-ilspn30-p.activeupdate.trendmicro.com: 80/activeupdate/pattern/itbldiff_1914201800_1914201900.zip
120.52.51.13: 80/osce11-ilspn30-p.activeupdate.trendmicro.com: 80/activeupdate/pattern/crczdiff_1914002000_1914200400.zip
通过查看内存并最终找到趋势科技产品的流程，它似乎应该是一个升级包。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 关于Web中间件漏洞的Tomcat文章

• 分享到：