背景

由于最近一段時(shí)間里”驅(qū)動(dòng)人生”這個(gè)病毒還挺熱門(mén)，最近發(fā)現(xiàn)通過(guò)一些安全廠商的設(shè)備發(fā)現(xiàn)內(nèi)網(wǎng)里面有大量的主機(jī)都中了這個(gè)病毒瞬間嚇哭了。后續(xù)通過(guò)對(duì)主機(jī)進(jìn)行檢查，居然沒(méi)有發(fā)現(xiàn)什么問(wèn)題，后續(xù)發(fā)現(xiàn)是安全設(shè)備***了一個(gè)威脅情報(bào)的IP，通過(guò)對(duì)IP的分析發(fā)現(xiàn)這還有這種操作。

過(guò)程

然后我登錄上了安全設(shè)備去查看IP地址，安全設(shè)備提示為：120.52.51.13，作為安全小白通過(guò)各種收集定位到了freebuf的一篇文章結(jié)尾公布出來(lái)的IOC里面，同樣的也有大佬在質(zhì)疑這個(gè)IP是否真的有問(wèn)題了。

然后這邊直接訪問(wèn)這個(gè)IP返回如下界面，看起來(lái)是缺了某一個(gè)參數(shù)感覺(jué)也沒(méi)有什么大問(wèn)題，看起來(lái)也沒(méi)有什么應(yīng)用，就先借助于威脅情報(bào)查詢(xún)一下了。

通過(guò)對(duì)該IP的查詢(xún)，提示為聯(lián)通的IDC機(jī)房使用位于河北廊坊，威脅情報(bào)提示為僵尸主機(jī)。

通過(guò)對(duì)微步在線的威脅情報(bào)進(jìn)行查詢(xún)提示未知。

再一次通過(guò)VT進(jìn)行一下分析，這里面的內(nèi)容就要豐富一些了，可以看到關(guān)聯(lián)到了很多奇奇怪怪的URL和一些病毒樣本，大多數(shù)時(shí)間點(diǎn)還是2019年2月到3月之間的信息。

在這些奇奇怪怪的URL當(dāng)中可以還發(fā)現(xiàn)很多知名大公司的域名看著想是iqiyi的cdn,還是adobe的msp文件，看起來(lái)應(yīng)該是的的確確的白域名才對(duì)。

在白域名的同時(shí)也發(fā)現(xiàn)了一些黑的域名比如a46.bluehero.in/download.exe。

該樣本為蠕蟲(chóng)病毒bulehero詳細(xì)分析結(jié)果可以參考：https://s.tencent.com/research/report/514.html。

測(cè)試

仔細(xì)看了這些url發(fā)現(xiàn)有個(gè)特點(diǎn)跟在這個(gè)域名后的根目錄的，都是網(wǎng)頁(yè)路徑于是大膽的猜想這個(gè)應(yīng)該是實(shí)現(xiàn)了一個(gè)基礎(chǔ)的跳轉(zhuǎn)功能，原理應(yīng)該類(lèi)似URL的Redirect這種操作。

大概的原理可能是這樣至于為什么要這樣玩，猜測(cè)原因可能如下：

• 繞過(guò)一些威脅情報(bào)的檢測(cè)
• CDN的一些多節(jié)點(diǎn)加速下載訪問(wèn)之類(lèi)的優(yōu)化
• 流量代理或者劫持之類(lèi)的

鑒于很多知名廠商都有這種行為，猜測(cè)CDN優(yōu)化或者流量代理的可能性大一些。但是這些對(duì)于很多安全來(lái)說(shuō)的也的確存在一些繞過(guò)的可能。畢竟這個(gè)IP服務(wù)器自己是沒(méi)有什么問(wèn)題的。

大致原理如下：

后續(xù)找了一臺(tái)主機(jī)自己測(cè)試一下訪問(wèn)，結(jié)果的確是直接返回類(lèi)似與Redirect，直接在瀏覽器當(dāng)中返回了后續(xù)的網(wǎng)址的路徑。輸入www.baidu.com當(dāng)前界面就直接跳轉(zhuǎn)到百度。

本地抓包也看了一下發(fā)現(xiàn)本主機(jī)也是僅只與120.52.51.19建立了HTTP連接。

通過(guò)對(duì)同網(wǎng)段的IP進(jìn)行測(cè)試發(fā)現(xiàn)都是存在同樣的情況：

120.52.51.13----- 120.52.51.20 

抓包檢查

由于沒(méi)有拿到此web的具體實(shí)現(xiàn)的一些源碼很多猜想也無(wú)法得到證實(shí)，于是在網(wǎng)關(guān)處進(jìn)行抓包想看一下具體請(qǐng)求的URL定位到如下2個(gè)：

120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/itbldiff_1914201800_1914201900.zip  
120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/crczdiff_1914002000_1914200400.zip 

通過(guò)對(duì)內(nèi)存進(jìn)行檢查***定位到趨勢(shì)科技的產(chǎn)品的進(jìn)程，看起來(lái)應(yīng)該是升級(jí)包一類(lèi)的操作吧。

總結(jié)

通過(guò)一些查詢(xún)發(fā)現(xiàn)還是不少這樣的IP服務(wù)器因?yàn)榘踩?jīng)驗(yàn)不足一時(shí)間也搞不清楚背后的套路，始終覺(jué)得有點(diǎn)詭異或者是什么新姿勢(shì)，但是對(duì)主機(jī)進(jìn)行檢查又沒(méi)有發(fā)現(xiàn)其他異常初步認(rèn)為此次行為這就是個(gè)誤報(bào)就算結(jié)案了還好是虛驚一場(chǎng)，不然又得加班幾點(diǎn)搞了最近已經(jīng)快吃不消了，祝愿各位IT大佬們少加班吧。