×

#原创分享#网络流量分析案例---某国企外网络恶意行为自检
  

KYLE_K 66661人觉得有帮助

{{ttag.title}}
一、 检测概述
1.1 检测背景
在《(92号)工业企业-网络安全威胁监测处置通知-XXX有限公司》中,指出XXX有限公司注册的IP地址(113.108.X.X)存在恶意通信行为,具体恶意通信情况如下:  
1. 通过向8.8.8.8与9.9.9.9两个DNS服务器请求解析:t.amxny.com、t.tr2q.com、t.awcna.com这三个恶意域名。  
2. 在2020年03月12日 16:57至2020年03月16日 15:57时间段内在每小时的57分或者58分向恶意域名持续发起了329次DNS连接请求。
为确认内网是否还存在以上的恶意通信行为,将根据以上情况进行为期三
日的网络数据检测分析。

1.2 检测分析方法
  监测内网用户访问8.8.8.8与9.9.9.9的所有通信行为,分析是否存在请求解析t.amxny.com、t.tr2q.com、t.awcna.com这三个域名或其他恶意域名。

1.3 流量检测工具  
  网络探针(可长时间流量采集)

1.4 检测时间
  202003300点~202004020点

1.5 检测系统部署
  本次检测采用端口镜像旁路部署的方式,采集核心交换机双向通讯数据。

二.流量检测分析
2.1. 流量采集情况
    采集2020年03月30日0点 - 2020年04月02日0点的DNS网络数据包通信数据,并针对8.8.8.8和9.9.9.9两个DNS服务器的通信进行筛选,相关筛选结果见下图:

    从2020年03月30日0点 - 2020年04月02日0点,未发现有基于9.9.9.9的DNS域名解析请求;基于8.8.8.8的DNS域名解析请求合计8254次,涉及81个域名查询请求,未发现通报中涉及的恶意域名,汇总情况见下表:

请求解析域名
请求解析次数
tup.gj.qq.com
2228
teredo.ipv6.microsoft.com
1837
init-s01st.push.apple.com
688
init-p01st.push.apple.com
678
nexus.officeapps.live.com
437
push.apple.com
305
sandbox.push.apple.com
258
gateway.icloud.com
214
tools.google.com
125
caldav.163.com
84
ydriver8.drvcache.com
82
commnat-main-gc.ess.apple.com
69
api.smoot.apple.cn
67
aidc.apple.com
60
time-macos.apple.com
52
1-courier.push.apple.com
51
apple.com
51
www.apple.com
51
1-courier.sandbox.push.apple.com
50
officecdn-microsoft-com.akamaized.net
48
config.edge.skype.com
47
configuration.apple.com
42
contacts.163.com
39
gsp-ssl.ls.apple.com
37
commnat-cohort-gc.ess.apple.com
35
grs.hicloud.com
34
fpdownload.macromedia.com
32
identity.ess.apple.com
32
p52-calendars.icloud.com
31
gsp64-ssl.ls.apple.com
30
keyvalueservice-china.icloud.com
29
monitor.uu.qq.com
29
p67-keyvalueservice-china.icloud.com
29
gspe1-ssl.ls.apple.com
28
mobile.pipe.aria.microsoft.com
28
nexusrules.officeapps.live.com
27
radarsubmissions.apple.com
26
swscan.apple.com
21
init-p01md.apple.com
17
mesu.apple.com
16
dns.weixin.qq.com
15
xp.apple.com
13
safebrowsing.googleapis.com
12
szextshort.weixin.qq.com
12
8-courier.sandbox.push.apple.com
9
gsa.apple.com
8
gsas.apple.com
8
gspe35-ssl.ls.apple.com
8
init.ess.apple.com
8
p67-escrowproxy-china.icloud.com
8
setup.icloud.com
8
init.itunes.apple.com
7
10-courier.sandbox.push.apple.com
6
wx.qlogo.cn
6
3-courier.sandbox.push.apple.com
5
6-courier.sandbox.push.apple.com
5
9-courier.sandbox.push.apple.com
5
hb.hy.baidu.com
5
s.f.360.cn
5
17-courier.push.apple.com
4
36-courier.push.apple.com
4
45-courier.push.apple.com
4
6-courier.push.apple.com
4
dr.hy.baidu.com
4
help.apple.com
4
officeci-mauservice.azurewebsites.net
4
2-courier.sandbox.push.apple.com
3
26-courier.push.apple.com
3
29-courier.push.apple.com
3
pcs-sdk-server.alibaba.com
3
xdcs-collector.ximalaya.com
3
31-courier.push.apple.com
2
4-courier.sandbox.push.apple.com
2
5-courier.sandbox.push.apple.com
2
apilocate.amap.com
2
up.hy.baidu.com
2
adashx.m.taobao.com
1
ctldl.windowsupdate.com
1
sf.symcb.com
1
weather.kjjs.360.cn
1

2.2. DNS通信流量分析
  1.涉及一级域名apple.com(苹果公司)的请求解析情况进行汇总,共有46个域名
请求涉及apple.com,合计请求解析次数2748次,汇总情况见下表:
请求解析域名
请求解析次数
init-s01st.push.apple.com
688
init-p01st.push.apple.com
678
push.apple.com
305
sandbox.push.apple.com
258
commnat-main-gc.ess.apple.com
69
api.smoot.apple.cn
67
aidc.apple.com
60
time-macos.apple.com
52
1-courier.push.apple.com
51
apple.com
51
www.apple.com
51
1-courier.sandbox.push.apple.com
50
configuration.apple.com
42
gsp-ssl.ls.apple.com
37
commnat-cohort-gc.ess.apple.com
35
identity.ess.apple.com
32
gsp64-ssl.ls.apple.com
30
gspe1-ssl.ls.apple.com
28
radarsubmissions.apple.com
26
swscan.apple.com
21
init-p01md.apple.com
17
mesu.apple.com
16
xp.apple.com
13
8-courier.sandbox.push.apple.com
9
gsa.apple.com
8
gsas.apple.com
8
gspe35-ssl.ls.apple.com
8
init.ess.apple.com
8
init.itunes.apple.com
7
10-courier.sandbox.push.apple.com
6
3-courier.sandbox.push.apple.com
5
6-courier.sandbox.push.apple.com
5
9-courier.sandbox.push.apple.com
5
17-courier.push.apple.com
4
36-courier.push.apple.com
4
45-courier.push.apple.com
4
6-courier.push.apple.com
4
help.apple.com
4
2-courier.sandbox.push.apple.com
3
26-courier.push.apple.com
3
29-courier.push.apple.com
3
31-courier.push.apple.com
2
4-courier.sandbox.push.apple.com
2
5-courier.sandbox.push.apple.com
2
汇总情况分析:
   apple.com为美国苹果公司域名,非恶意域名,判断表中46请求解析的域名,均不是恶意域名,排除传播病毒木马的可能。

2.另外35个域名请求解析次数合计5506次,汇总情况见下表:
请求解析域名
请求解析次数
tup.gj.qq.com
2228
teredo.ipv6.microsoft.com
1837
nexus.officeapps.live.com
437
gateway.icloud.com
214
tools.google.com
125
caldav.163.com
84
ydriver8.drvcache.com
82
api.smoot.apple.cn
67
officecdn-microsoft-com.akamaized.net
48
config.edge.skype.com
47
contacts.163.com
39
grs.hicloud.com
34
fpdownload.macromedia.com
32
p52-calendars.icloud.com
31
monitor.uu.qq.com
29
p67-keyvalueservice-china.icloud.com
29
mobile.pipe.aria.microsoft.com
28
nexusrules.officeapps.live.com
27
dns.weixin.qq.com
15
safebrowsing.googleapis.com
12
szextshort.weixin.qq.com
12
p67-escrowproxy-china.icloud.com
8
setup.icloud.com
8
wx.qlogo.cn
6
s.f.360.cn
5
dr.hy.baidu.com
4
officeci-mauservice.azurewebsites.net
4
pcs-sdk-server.alibaba.com
3
xdcs-collector.ximalaya.com
3
apilocate.amap.com
2
up.hy.baidu.com
2
adashx.m.taobao.com
1
ctldl.windowsupdate.com
1
sf.symcb.com
1
weather.kjjs.360.cn
1
汇总情况分析:
   通过国内第三方域名情报网站 微步在线(https://x.threatbook.cn/)和深信服安全中心(https://sec.sangfor.com.cn/analysis-platform)进行查询,表中35个域名均没有警报提示;通过排除传播病毒木马的可能。

2.3. 分析结论
1. 内网现时不存在通过9.9.9.9进行域名解析请求的情况;
2. 通过8.8.8.8进行域名解析请求的域名,均为安全域名;
3. 综上所述,内网未发现通报中的恶意通信行为及其他请求解析恶意域名的通信行为。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

未卜 发表于 2020-5-7 09:02
  
感谢楼主分享,针对恶意通信根据对于域名进行数据抓取和分析从而判断具有残留(抓取一定时间范围内的数据是有效的),同时也建议针对该背景下可以在对应防护设备上进行恶意域名封堵更好,感谢分享哈
Sangfor_闪电回_朱丽 发表于 2020-5-4 23:20
  
您好,感谢您参与社区原创分享计划8,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
关于技术文章的管理流程,请参考:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
71415 发表于 2020-5-17 08:20
  
··································~~~~~~~
71415 发表于 2020-5-18 08:56
  
好,真棒,太棒了,简直太棒了
liugd1013 发表于 2020-5-18 16:20
  
感谢分享,恶意行为必须加强防范
新手769997 发表于 2021-8-26 09:50
  
您好,看到了您的结论,3天内,未发现恶意域名解析。我想请教一下,为什么之前告警会出现t.amxny.com、t.tr2q.com、t.awcna.com这三个恶意域名解析,我在流量设备也看到这种指向恶意域名的告警,只是告知了领导,还没有开始排查。
jan 发表于 2022-1-14 15:37
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人