访问polling.oastify.com
- 今天(2024/3/5)在深信服防火墙用户安全日志页面,检测到我的主机在和polling.oastify.com域名进行通信
- 当时通知我检查我的主机,慌得一批,检查完后可能认为是我代理的问题,把代理关了之后还是有访问域名情况,有接着排查,并没有发现什么问题,想着可能要重装系统了。。。
威胁情报查询
微步社区
安恒情报社区
奇安信威胁情报中心
绿盟威胁情报
结论
- 综合上述情报分析,该域名为恶意域名。
- 接下来就是寻找到对应的木马程序了。
进程排查
- 通过火绒剑系统监控功能,记录主机网络通信信息(只过滤polling.oastify.com域名关键词),发现系统通信进程只有一个svchost.exe的系统进程,并无其他应用程序和此域名通信。
- 通过双击查看进行命令,可以看到svchost.exe -k NetworkService -p -s Dnscache 这样的参数.
- svchost.exe
- 微软官方解释:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
- svchost.exe 是一个系统共享进程,我们可以把他理解为一个宿主或者容器,本身没有任何服务功能,Windows 操作系统将大部分的服务封装在了一个个 DLL 动态链接库中,想要启动哪个服务,就把服务所需的 dll 交给 svchost.exe,让 svchost 统一去加载启动就可以,这就是我们在查看进程时,会发现密密麻麻一大堆 svchost.exe 进程的原因。
- 打开 Windows 任务管理器,我们看到的一堆名称为"服务主机"的进程,大部分都是 svchost.exe 启动的服务进程。当然,凡事都有例外,个别服务是通过直接注册可执行文件来实现,并不会通过 svchost.exe 这类进程调用。
云沙箱分析
- 将对应svchost.exe文件上传云沙箱分析,分析结果均为安全
微步云沙箱
安恒云沙箱
修改host地址
- 通过火绒安全工具"修改HOST文件"功能,编辑系统本地hosts文件,手动添加域名解析地址表项(本例设置了本地网络中不存在的地址,避免正常应用程序访问对应IP地址,出现不必要记录)。 ps:在hosts文件中手动添加了一个域名与其对应的IP地址映射后,操作系统在处理对该域名的请求时,会优先查询hosts文件而不是向DNS服务器发起请求。
- 修改完成后在火绒剑系统功能栏,打开过滤设置:路径过滤中添加恶意域名和hosts文件绑定的对应IP地址;动作可根据实际情况选择(建议只勾选网络监控)。 过滤完成后等等待一段时间,等待牧马应用程序访问对应恶意域名,查看网络监控日志中哪个访问了hosts文件中关联的地址(本地不存在),对应应用程序极有可能就为牧马程序。
- 经过多次,主机、虚拟机进程监测测试。 发现本人使用的BurpSuitePro(v2023.1.1版本)在使用内嵌浏览器,第一次打开任意网站时,该程序会自动发送一个请求polling.oastify.com域名的数据包。
- 在如下情况中火绒剑并未发现程序访问远控polling.oastify.com域名:
- BurpSuitePro(v2023.1.1版本)在启动过程中并未发现访问恶意域名请求;
- 且在第一次发送完恶意域名通信数据包后,浏览器打开新标签页面并未发现访问恶意域名请求;
- 关闭浏览器应用程序后第二次打开内嵌浏览器,并访问任意网站并未发现访问恶意域名请求;
地址解析
- 过多个查询IP平台测试,目前polling.oastify.com域名解析地址为 54.220.122.8、63.33.151.92