- 博客(3)
- 收藏
- 关注
RSS订阅原创 各种疑似DGA域名大全
在网络流量检测中,经常有疑似DGA域名或者域名长度异常等的告警。后来分析,一般都是中文域名经过编码之后变得奇奇怪怪。现在收集几种域名编码,并且记下解码的方式。1、斜杠数字域名。www.\230\156\186\230\158\132\228\191\161\230\129\175\229\143\152\230\155\180\231\148\179\232\175\183.com www.\230\156\186\230\158\132\228\191\161\230\129\175\229\14
2020-10-20 10:40:46
987
原创 一个新冠病毒相关恶意域名insiderppe.cloudapp.net的调查
最近,大概一个月前,我收到系统告警,标题是“我司遭受新冠相关apt攻击,内网大量主机访问C2域名。”是网络流量命中了IoCs。仔细一看,这个域名是insiderppe.cloudapp.net,看起来是黑客利用微软的cloudapp托管服务在搞事情。上网一查,这是一个新冠邮件木马的域名,报告见这里:https://blog.morphisec.com/trickbot-delivery-met...
2020-05-07 10:12:14
754
原创 一个搞笑的宏病毒apmp kill
今天公司的没什么乱用的沙箱又报警了,还是老样子,钓鱼邮件。黄老师把邮件发过来,我看了下标题是xxx会议通知,附件一个doc,一个rar:会议通知,看上去确实比较可疑。先用winhex打开rar。只有ace格式才会被恶意解析。再看内容是3个jpg。看上去没啥问题。好下一个。再看doc。处理doc的原则是千万别在实体机上点开任何doc,教训太惨痛……我这台机器又没有装虚...
2019-04-03 23:24:23
3326
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人