一次奇特的应急响应

访问polling.oastify.com
  • 今天(2024/3/5)在深信服防火墙用户安全日志页面,检测到我的主机在和polling.oastify.com域名进行通信
  • 当时通知我检查我的主机,慌得一批,检查完后可能认为是我代理的问题,把代理关了之后还是有访问域名情况,有接着排查,并没有发现什么问题,想着可能要重装系统了。。。
威胁情报查询
微步社区
安恒情报社区
奇安信威胁情报中心
绿盟威胁情报
结论
  • 综合上述情报分析,该域名为恶意域名。
  • 接下来就是寻找到对应的木马程序了。
进程排查
  • 通过火绒剑系统监控功能,记录主机网络通信信息(只过滤polling.oastify.com域名关键词),发现系统通信进程只有一个svchost.exe的系统进程,并无其他应用程序和此域名通信。
  • 通过双击查看进行命令,可以看到svchost.exe -k NetworkService -p -s Dnscache 这样的参数.
  • svchost.exe
  • 微软官方解释:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
  • svchost.exe 是一个系统共享进程,我们可以把他理解为一个宿主或者容器,本身没有任何服务功能,Windows 操作系统将大部分的服务封装在了一个个 DLL 动态链接库中,想要启动哪个服务,就把服务所需的 dll 交给 svchost.exe,让 svchost 统一去加载启动就可以,这就是我们在查看进程时,会发现密密麻麻一大堆 svchost.exe 进程的原因。
  • 打开 Windows 任务管理器,我们看到的一堆名称为"服务主机"的进程,大部分都是 svchost.exe 启动的服务进程。当然,凡事都有例外,个别服务是通过直接注册可执行文件来实现,并不会通过 svchost.exe 这类进程调用。
云沙箱分析
  • 将对应svchost.exe文件上传云沙箱分析,分析结果均为安全
微步云沙箱
安恒云沙箱
修改host地址
  • 通过火绒安全工具"修改HOST文件"功能,编辑系统本地hosts文件,手动添加域名解析地址表项(本例设置了本地网络中不存在的地址,避免正常应用程序访问对应IP地址,出现不必要记录)。 ps:在hosts文件中手动添加了一个域名与其对应的IP地址映射后,操作系统在处理对该域名的请求时,会优先查询hosts文件而不是向DNS服务器发起请求。
  • 修改完成后在火绒剑系统功能栏,打开过滤设置:路径过滤中添加恶意域名和hosts文件绑定的对应IP地址;动作可根据实际情况选择(建议只勾选网络监控)。 过滤完成后等等待一段时间,等待牧马应用程序访问对应恶意域名,查看网络监控日志中哪个访问了hosts文件中关联的地址(本地不存在),对应应用程序极有可能就为牧马程序。
  • 经过多次,主机、虚拟机进程监测测试。 发现本人使用的BurpSuitePro(v2023.1.1版本)在使用内嵌浏览器,第一次打开任意网站时,该程序会自动发送一个请求polling.oastify.com域名的数据包。
  • 在如下情况中火绒剑并未发现程序访问远控polling.oastify.com域名:
  • BurpSuitePro(v2023.1.1版本)在启动过程中并未发现访问恶意域名请求;
  • 且在第一次发送完恶意域名通信数据包后,浏览器打开新标签页面并未发现访问恶意域名请求;
  • 关闭浏览器应用程序后第二次打开内嵌浏览器,并访问任意网站并未发现访问恶意域名请求;
地址解析
  • 过多个查询IP平台测试,目前polling.oastify.com域名解析地址为 54.220.122.8、63.33.151.92

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/721733.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

w2v参数报错_TypeError: init() got an unexpected keyword argument ‘size‘

1.错误方式 w2v Word2Vec(docs,size16, sg1, window5, seed2020, workers24, min_count1, iter1) 在linux操作环境下,报错显示: TypeError: init() got an unexpected keyword argument ‘size’ 在vscode软件上,查看当前w2v参数 2.正确…

unocss 究竟比 tailwindcss 快多少?

unocss 究竟比 tailwindcss 快多少? 前言 我们知道 unocss 很快,也许是目前最快的原子化 CSS 引擎 (没有之一)。 unocss 解释它为什么这么快的原因,是因为它不用去解析 CSS 抽象语法树,直接在 content 里面通过正则表达式从内容…

yum 和 rpm

rpm说明 rpm -qa :列出所有已安装的软件包 [roothub ~] rpm -qa geoipupdate-2.5.0-1.el7.x86_64 ncurses-base-5.9-14.20130511.el7_4.noarch libndp-1.2-9.el7.x86_64 libfastjson-0.99.4-3.el7.x86_64 。。。 rpm -qf FILENAME :查找提供 FILENAME…

Nginx使用—http基础知识

web访问流程 当我们在客户端通过浏览器输入网址的时候,这时候是访问不到服务器的, 先会去找到DNS解析服务器,DNS解析服务器返回IP地址, 客户端通过http协议向服务端发送请求,服务器响应请求并返回对应的资源给客户端&a…

H5小游戏,斗地主

H5小游戏源码、JS开发网页小游戏开源源码大合集。无需运行环境,解压后浏览器直接打开。有需要的,私信本人,发演示地址,可以后再订阅,发源码,含60+小游戏源码。如五子棋、象棋、植物大战僵尸、开心消消乐、扑鱼达人、飞机大战等等 <!DOCTYPE html> <html> <…

鸿蒙Harmony应用开发—ArkTS声明式开发(通用属性:组件内容模糊)

为当前组件添加内容模糊效果。 说明&#xff1a; 从API Version 10开始支持。后续版本如有新增内容&#xff0c;则采用上角标单独标记该内容的起始版本。 foregroundBlurStyle foregroundBlurStyle(value: BlurStyle, options?: ForegroundBlurStyleOptions) 为当前组件提供…

北京Excel表格线下培训班

Excel培训目标 熟练掌握职场中Excel所需的公式函数计算&#xff0c;数据处理分析&#xff0c;各种商务图表制作、动态仪表盘的制作、熟练使用Excel进行数据分析&#xff0c;处理&#xff0c;从复杂的数据表中把数据进行提取汇总 Excel培训形式 线下面授5人以内小班&#xff…

最新AI系统ChatGPT网站H5系统源码,支持Midjourney绘画

一、前言 SparkAi创作系统是基于ChatGPT进行开发的Ai智能问答系统和Midjourney绘画系统&#xff0c;支持OpenAI-GPT全模型国内AI全模型。本期针对源码系统整体测试下来非常完美&#xff0c;那么如何搭建部署AI创作ChatGPT&#xff1f;小编这里写一个详细图文教程吧。已支持GPT…

外包干了6个月,技术退步明显

先说一下自己的情况&#xff0c;本科生&#xff0c;19年通过校招进入广州某软件公司&#xff0c;干了接近4年的功能测试&#xff0c;今年年初&#xff0c;感觉自己不能够在这样下去了&#xff0c;长时间呆在一个舒适的环境会让一个人堕落!而我已经在一个企业干了四年的功能测试…

UE4c++ 材质功能大全(想起来就补充一个)

前言&#xff1a;才想起写一个这个文档&#xff0c;前期内容较少&#xff0c;其他内容&#xff0c;我也只会想起来加一加&#xff01; 材质功能大全 竖直百分比进度HSV To RGBRGB转灰度值AlphaComosote(Premultiplied Alpha&#xff09;预乘 转 Translucent &#xff08;sRGB与…

Hello World!第一个labview程序

软件版本&#xff1a; labview myrio 2021英文版 因为没有找到中文版的&#xff0c;据说是myrio没有中文版本 实验内容&#xff1a; 文本显示&#xff0c;程序界面输入任意文本&#xff0c;然后运行程序 在前面板显示出输入的文本 以下为具体步骤&#xff1a; 第一步&…

【数据结构和算法初阶(C语言)】复杂链表(随机指针,随机链表的复制)题目详解+链表顺序表结尾

目录 1.随机链表的复制 1.2题目描述 1.3题目分析 1.4解题&#xff1a; 2.顺序表和链表对比 2.1cpu高速缓存利用率 3.结语 1.随机链表的复制 一个长度为 n 的链表&#xff0c;每个节点包含一个额外增加的随机指针 random 该指针可以指向链表中的任何节点或空节点。 1.2题目描…

Godot自定义控件样式语法解析

前言 本篇原始文章写于2023年8月7日&#xff0c;存储在我的语雀文档中。但是语雀分享有诸多不便&#xff0c;为了让更多Godoter更轻松的搜到和看到&#xff0c;就转过来了。 这个项目我上传了Github&#xff0c;后续会贴上链接。 概述 Godot控件体系存在的问题之一就是样式无…

【pyinstaller打包记录】Windows系统打包exe后,onnxruntime报警告(Init provider bridge failed)

简介 PyInstaller 是一个用于将 Python 程序打包成可执行文件&#xff08;可执行程序&#xff09;的工具。它能够将 Python 代码和其相关的依赖项&#xff08;包括 Python 解释器、依赖的模块、库文件等&#xff09;打包成一个独立的可执行文件&#xff0c;方便在不同环境中运行…

凌风 TEMU工具箱 抢仓 库存销售数据利润计算 选品监控采集上品 一网打尽

凌风TEMU工具箱介绍 一、安装教程1、下载方式2、环境准备3、安装步骤3.1、插件安装3.2、客户端安装 4、启动软件 二、使用教程一&#xff1a;登录注册激活方法2.1 注册登录2.2 激活方式 &#xff08;激活码激活&#xff09;2.3 绑定店铺 二&#xff1a;使用方法&#xff1a;功能…

Android Gradle开发与应用 (四) : Gradle构建与生命周期

1. 前言 前几篇文章&#xff0c;我们对Gradle中的基本知识&#xff0c;包括Gradle项目结构、Gradle Wrapper、GradleUserHome、Groovy基础语法、Groovy语法概念、Groovy闭包等知识点&#xff0c;这篇文章我们接着来介绍Gradle构建过程中的知识点。 2. Project : Gradle中构建…

揭秘大气颗粒物与VOCs:PMF源解析技术全解析

在现今日益严峻的环境问题中&#xff0c;大气颗粒物和臭氧污染尤为突出&#xff0c;它们不仅深刻影响着全球气候和生态环境&#xff0c;更对人体健康构成了严重威胁。为了有效应对这一挑战&#xff0c;我们首先需要深入了解颗粒物和臭氧的来源&#xff0c;特别是臭氧的前体物之…

遥测终端助力城市内涝积水监测,守护城市生命线!

近年来&#xff0c;随着全球气候的变化和城市化进程的加速&#xff0c;强降雨事件频发&#xff0c;导致城市内涝问题日益严重。道路低洼处、下穿式立交桥和隧道在强降雨时常常产生大量积水&#xff0c;给人们的出行带来极大不便&#xff0c;严重时甚至威胁人民的生命安全和造成…

JVM运行时数据区——方法区

文章目录 1、栈、堆、方法区的交互关系2、方法区的理解2.1、方法区的官方描述2.2、方法区的基本理解2.3、JDK中方法区的变化 3、设置方法区大小与OOM3.1、设置方法区内存的大小3.2、方法区内存溢出 4、方法区的内部结构4.1、类型信息、域信息和方法信息介绍4.1.1、类型信息4.1.…

动手学深度学习—循环神经网络RNN详解

循环神经网络 循环神经网络的步骤&#xff1a; 处理数据 将数据按照批量大小和时间步数进行处理&#xff0c;最后得到迭代器&#xff0c;即每一个迭代的大小是批量大小时间步数&#xff0c;迭代次数根据整个数据的大小决定&#xff0c;最后得出处理的数据&#xff08;参照第三…