一个新冠病毒相关恶意域名insiderppe.cloudapp.net的调查

最新推荐文章于 2024-08-03 18:15:56 发布
最新推荐文章于 2024-08-03 18:15:56 发布
阅读量758 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43231078/article/details/105965139
版权
本文讲述了对一个被误认为与新冠病毒相关APT攻击有关的域名insiderppe.cloudapp.net的调查过程。通过分析,发现该域名实际为Windows 10 1703版本的用户体验数据收集(telemetry)域名,而非恶意C2域名。文中探讨了可能的误报原因,并分享了如何检查系统是否受到类似事件影响的方法。
摘要由CSDN通过智能技术生成

最近,大概一个月前,我收到系统告警,标题是“我司遭受新冠相关apt攻击,内网大量主机访问C2域名。”是网络流量命中了IoCs。

仔细一看,这个域名是insiderppe.cloudapp.net,看起来是黑客利用微软的cloudapp托管服务在搞事情。上网一查,这是一个新冠邮件木马的域名,报告见这里:https://blog.morphisec.com/trickbot-delivery-method-gets-a-new-upgrade-focusing-on-windows

随后我在飞塔的网站上找到了更详细的报告:https://www.fortinet.com/blog/threat-research/attackers-taking-advantage-of-the-coronavirus-covid-19-media-frenzy.html

里面分析了木马邮件是如何运作的,非常棒的一篇文章。

那么好,估计是邮件做的比较真,有老师点了,这可是大事。

开查。但是一查就出现了问题,我发现访问这个域名的主机,大部分是服务器,测试机,根本不会有人在上面处理邮件的,有几台办公的主机,都快挖地3尺了,都没有找到什么恶意邮件,恶意程序。

这就很

最低0.47元/天 解锁文章
wdxrm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
过滤一些病毒域名
项希盛的博客
12-06 226
修改文件 /usr/local/nginx/conf/http/inc-server_location_common.conf 内容是 subs_filter 'js.8un.net' '50881.tcp.firadio.net:50881' i; subs_filter 'kmphb.pw' '50881.tcp.firadio.net:50881' i; subs_fi
连载四:PyCon2018|恶意域名检测实例(附源码)
weixin_34309543的博客
11-10 1943
第八届中国Python开发者大会PyConChina2018,由PyChina.org发起,由来自CPyUG/TopGeek等社区的30位组织者,近150位志愿者在北京、上海、深圳、杭州、成都等城市举办。致力于推动各类Python相关的技术在互联网、企业应用等领域的研发和应用。代码医生工作室有幸接受邀请,参加了这次会议的北京站专场。在会上主要分享了《人工智能实战案例分享-图像处理与数值分析》。会上...
Windows Azure中国区试用一睹为快
ShaunFang的专栏
08-05 1万+
本文简单评估了Windows Azure中国版。总的来说,中国版和国际板的服务差别不大,所有核心的服务都已经就绪了。另外值得一提的是,在开发工具、API、命令行工具方面,国内版和国际版没有任何区别,用户只需要指向不同域名即可用同一套工具管理不同的服务
网安学习——什么是IOC?
xyx112的博客
05-15 4431
不属于系统目录的文件或可疑 IP 地址。IOC 是“确凿证据”,即已遭受损害的事后指标。网络安全专业人员利用 IoC 来调查事件造成的影响,并训练他们的工具和技术,以更好地检测和隔离日后可能出现的威胁。入侵指标 (IOC, Indicators of Compromise)[1],指的是在网络或设备上发现的数据物件,可作为系统疑遭入侵的证据。
C# 对PDF文档加密、解密(基于Spire.Cloud.SDK for .NET
12-17
Spire.Cloud.SDK for .NET提供了接口PdfSecurityApi可用于加密、解密PDF文档。本文将通过C#代码演示具体加密及解密方法。 使用工具: Spire.Cloud.SDK for .NET Visual Studio 必要步骤: 步骤一: dll文件获取及...
labs.online.net-gentoo-image:将 Gentoo 集成到 labs.online.net 所需的补丁和脚本
07-13
"labs.online.net-gentoo-image"项目就是这样的一个实例,它专注于将Gentoo Linux操作系统集成到labs.online.net的云环境中。Gentoo Linux是一个源代码级别的Linux发行版,允许用户根据自己的需求定制系统,因此对...
Spire.Cloud.PDF.SDK及WebAPI示例.zip
12-17
3. **合并与拆分**:合并多个PDF文件为一个,或者将一个PDF拆分为多个小文件。 4. **OCR识别**:利用光学字符识别技术,将扫描的PDF或图像中的文字提取出来,使其变为可编辑的文本。 5. **安全性管理**:设置PDF的...
cloudflare域名DNS解析监测软件 动态域名解析.zip
05-03
本软件适用于自己有动态公网IP的朋友!就那种IP过几天就被猫自动重拨号导致变更的!当自己电脑搭建了WEB...就是实时监测本机公网IP地址,对cloudflare的域名DNS解析指向目标地址进行修改,改成自己本机的外网IP地址!
邮件服务器之乌龙
沙沙罗曼的专栏
03-17 1483
邮件服务器之乌龙 之前帮助处理过一次邮件服务器问题,时隔一个多月,业务部门又找上门,称配置转发的邮箱收到了邮件,但登录到原始邮箱查看不到邮件,本文记录这次问题的解决过程。 事情由来 开完会从办公室出来,已经到了下班点,大部分同事都已离开办公室,唯有IT小哥在座位上用一脸求助的表情看着我。过去一问,原来是收到某业务部门的邮件,称配置转发的邮箱收到了邮件,但登录到原始邮箱查看不到邮件。 邮...
实战第一个云程序
weixin_33860737的博客
09-08 195
一. 摘要   首先圣殿骑士很高兴云计算系列能得到大家的关注和支持,这个系列准备了几个月,终于在今天发布第一篇了(由于文章太长,拆成了两篇,这是其中一篇)。在这几个月中通过不断的使用和实践,对云计算总算有了一个较粗浅的认识,所以也希望能够和大家一起分享。在发布这篇文章之前也考虑了很久,因为一开始就讲概念的话,势必会得不到很好的效果,毕竟大家都不太熟悉这个新事物。与其“人云亦云”还不如先来一个简单...
隐藏在浏览器背后的“黑手”
热门推荐
美团技术团队
12-24 1万+
总第430篇2020年 第54篇本文从黑产攻击方式、木马恶意行为、监控及防御方案等角度对Lnkr木马进行分析,此类木马影响范围较广,攻击手法多样,但目前国内相关的资料却非常稀少,希望本文...
再谈“ASP.NET网站限制恶意访问”
weixin_34067049的博客
09-20 166
    昨天我因为我网站(http://freesms.cloudapp.net  )收到了恶意攻击,我发布了ASP.NET网站限制访问频率一文,引起了博客园各位高手的激烈讨论,很多朋友朋友提出了一些疑问与改进意见,我感到非常开心。后来我也继续思考了很多,现将我的想法写下来,希望高手们再来看看,不吝赐教。o(∩_∩)o    在众多网友中,最需要感谢的是在博客园网友王玮。你的由“ASP.NET网...
阿里云服务器安全警告-异常网络连接-访问恶意域名
NULL
05-05 4623
前言 公司服务器其最近被攻击了,以前没有在意,觉得每次都发警告没什么重要的,服务器能跑就行了。 但是,最近服务器客户打电话说服务器 cpu跑满了,让我来进行升级服务器内存,我说以前都是好好的,怎么一下子就满了呢? 接下来登录阿里云安全中心发现 阿里云服务器被人用挖矿程序 一直吃服务器的cpu,导致服务器直接cpu直接拉满了,登录了安全中心发现我的AccessKey被泄露了,估计有人用我...
机器学习初实践——恶意域名检测
weixin_44036446的博客
10-14 3231
这次恶意域名检测实践是第一次自己做机器学习而非单纯复现,参考了第一次鸢尾花的代码和GitHub的UrlDetect中的特征提取参数的代码。 一、数据处理 首先要实现自动化处理数据,在这里我没有使用urlparser而是直接写脚本提取域名、提取特征、打标签。由于一开始钓鱼网站和顶级域名就是分别存储在不同的csv中,所以直接对恶意域名标1,正常域名标0。 为了使处理过程更加直观,我分了两步来处理数据,第一步是提取域名+打标签,第二步才是提取特征,最后将两种域名合并到一个文件作为训练数据(放在一起的话后面在训练模
使用power bi cloud (1)
我的英文站点:https://iorilan.medium.com/
02-10 1089
下载PowerBI :https://powerbi.microsoft.com/en-us/1.配置数据源2. 选择 Sql server 作为数据源3. 选择服务器和数据库也可以直接执行SQL语句4. 选择要查询的表5. 选择报表类型6. 部署(要由power bi账号)7. 选择默认的 'workspace'8. 登陆 powerbi https://app.powerbi.com/grou...
哪个进程在访问这个恶意域名???
lidonghit的专栏
03-27 9672
本文提供两种通过恶意域名定位进程的方法。第一种是使用SYSMON监控程序,该方法需要部署,定位进程比较准确。第二种方法是使用两款windows电子取证工具,无需部署,但是监测时间视具体情况而定,准确性也需要实践检验。这里分享给大家,提供思路,大家结合实际情况运用。
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9739
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
赛蓝企业管理系统 AuthToken/Index 身份认证绕过漏洞复现
最新发布
0xSec
08-03 440
赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞,未授权的远程攻击者可以利用此接口构造token绕过身份认证,使用超级管理员账户登录系统后台,造成信息泄露或者恶意破坏,使系统处于极不安全的状态。
api.cloud.huawei.com 是什么应用的域名
07-12
根据提供的域名 "api.cloud.huawei.com",可以推测它是华为云(Huawei Cloud)的 API 域名。华为云是华为公司提供的...如需获得更准确的信息,建议您进一步调查和研究该域名的使用情况,或者参考华为云相关文档和资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值