#原创分享#网络流量分析案例---某国企外网络恶意行为自检

一、 检测概述

1.1 检测背景

在《（92号）工业企业-网络安全威胁监测处置通知-XXX有限公司》中，指出XXX有限公司注册的IP地址（113.108.X.X）存在恶意通信行为，具体恶意通信情况如下：  

1. 通过向8.8.8.8与9.9.9.9两个DNS服务器请求解析：t.amxny.com、t.tr2q.com、t.awcna.com这三个恶意域名。  

2. 在2020年03月12日 16:57至2020年03月16日 15:57时间段内在每小时的57分或者58分向恶意域名持续发起了329次DNS连接请求。

为确认内网是否还存在以上的恶意通信行为，将根据以上情况进行为期三

日的网络数据检测分析。

1.2 检测分析方法

  监测内网用户访问8.8.8.8与9.9.9.9的所有通信行为，分析是否存在请求解析t.amxny.com、t.tr2q.com、t.awcna.com这三个域名或其他恶意域名。

1.3 流量检测工具  

  网络探针（可长时间流量采集）

1.4 检测时间

  2020年03月30日0点~2020年04月02日0点

1.5 检测系统部署

  本次检测采用端口镜像旁路部署的方式，采集核心交换机双向通讯数据。

二.流量检测分析

2.1. 流量采集情况

    采集2020年03月30日0点 - 2020年04月02日0点的DNS网络数据包通信数据，并针对8.8.8.8和9.9.9.9两个DNS服务器的通信进行筛选，相关筛选结果见下图：

    从2020年03月30日0点 - 2020年04月02日0点，未发现有基于9.9.9.9的DNS域名解析请求；基于8.8.8.8的DNS域名解析请求合计8254次，涉及81个域名查询请求，未发现通报中涉及的恶意域名，汇总情况见下表：

请求解析域名	请求解析次数
tup.gj.qq.com	2228
teredo.ipv6.microsoft.com	1837
init-s01st.push.apple.com	688
init-p01st.push.apple.com	678
nexus.officeapps.live.com	437
push.apple.com	305
sandbox.push.apple.com	258
gateway.icloud.com	214
tools.google.com	125
caldav.163.com	84
ydriver8.drvcache.com	82
commnat-main-gc.ess.apple.com	69
api.smoot.apple.cn	67
aidc.apple.com	60
time-macos.apple.com	52
1-courier.push.apple.com	51
apple.com	51
www.apple.com	51
1-courier.sandbox.push.apple.com	50
officecdn-microsoft-com.akamaized.net	48
config.edge.skype.com	47
configuration.apple.com	42
contacts.163.com	39
gsp-ssl.ls.apple.com	37
commnat-cohort-gc.ess.apple.com	35
grs.hicloud.com	34
fpdownload.macromedia.com	32
identity.ess.apple.com	32
p52-calendars.icloud.com	31
gsp64-ssl.ls.apple.com	30
keyvalueservice-china.icloud.com	29
monitor.uu.qq.com	29
p67-keyvalueservice-china.icloud.com	29
gspe1-ssl.ls.apple.com	28
mobile.pipe.aria.microsoft.com	28
nexusrules.officeapps.live.com	27
radarsubmissions.apple.com	26
swscan.apple.com	21
init-p01md.apple.com	17
mesu.apple.com	16
dns.weixin.qq.com	15
xp.apple.com	13
safebrowsing.googleapis.com	12
szextshort.weixin.qq.com	12
8-courier.sandbox.push.apple.com	9
gsa.apple.com	8
gsas.apple.com	8
gspe35-ssl.ls.apple.com	8
init.ess.apple.com	8
p67-escrowproxy-china.icloud.com	8
setup.icloud.com	8
init.itunes.apple.com	7
10-courier.sandbox.push.apple.com	6
wx.qlogo.cn	6
3-courier.sandbox.push.apple.com	5
6-courier.sandbox.push.apple.com	5
9-courier.sandbox.push.apple.com	5
hb.hy.baidu.com	5
s.f.360.cn	5
17-courier.push.apple.com	4
36-courier.push.apple.com	4
45-courier.push.apple.com	4
6-courier.push.apple.com	4
dr.hy.baidu.com	4
help.apple.com	4
officeci-mauservice.azurewebsites.net	4
2-courier.sandbox.push.apple.com	3
26-courier.push.apple.com	3
29-courier.push.apple.com	3
pcs-sdk-server.alibaba.com	3
xdcs-collector.ximalaya.com	3
31-courier.push.apple.com	2
4-courier.sandbox.push.apple.com	2
5-courier.sandbox.push.apple.com	2
apilocate.amap.com	2
up.hy.baidu.com	2
adashx.m.taobao.com	1
ctldl.windowsupdate.com	1
sf.symcb.com	1
weather.kjjs.360.cn	1

2.2. DNS通信流量分析

  1.涉及一级域名apple.com（苹果公司）的请求解析情况进行汇总，共有46个域名

请求涉及apple.com,合计请求解析次数2748次，汇总情况见下表：

请求解析域名	请求解析次数
init-s01st.push.apple.com	688
init-p01st.push.apple.com	678
push.apple.com	305
sandbox.push.apple.com	258
commnat-main-gc.ess.apple.com	69
api.smoot.apple.cn	67
aidc.apple.com	60
time-macos.apple.com	52
1-courier.push.apple.com	51
apple.com	51
www.apple.com	51
1-courier.sandbox.push.apple.com	50
configuration.apple.com	42
gsp-ssl.ls.apple.com	37
commnat-cohort-gc.ess.apple.com	35
identity.ess.apple.com	32
gsp64-ssl.ls.apple.com	30
gspe1-ssl.ls.apple.com	28
radarsubmissions.apple.com	26
swscan.apple.com	21
init-p01md.apple.com	17
mesu.apple.com	16
xp.apple.com	13
8-courier.sandbox.push.apple.com	9
gsa.apple.com	8
gsas.apple.com	8
gspe35-ssl.ls.apple.com	8
init.ess.apple.com	8
init.itunes.apple.com	7
10-courier.sandbox.push.apple.com	6
3-courier.sandbox.push.apple.com	5
6-courier.sandbox.push.apple.com	5
9-courier.sandbox.push.apple.com	5
17-courier.push.apple.com	4
36-courier.push.apple.com	4
45-courier.push.apple.com	4
6-courier.push.apple.com	4
help.apple.com	4
2-courier.sandbox.push.apple.com	3
26-courier.push.apple.com	3
29-courier.push.apple.com	3
31-courier.push.apple.com	2
4-courier.sandbox.push.apple.com	2
5-courier.sandbox.push.apple.com	2

汇总情况分析：

   apple.com为美国苹果公司域名，非恶意域名，判断表中46请求解析的域名，均不是恶意域名，排除传播病毒木马的可能。

2.另外35个域名请求解析次数合计5506次，汇总情况见下表：

请求解析域名	请求解析次数
tup.gj.qq.com	2228
teredo.ipv6.microsoft.com	1837
nexus.officeapps.live.com	437
gateway.icloud.com	214
tools.google.com	125
caldav.163.com	84
ydriver8.drvcache.com	82
api.smoot.apple.cn	67
officecdn-microsoft-com.akamaized.net	48
config.edge.skype.com	47
contacts.163.com	39
grs.hicloud.com	34
fpdownload.macromedia.com	32
p52-calendars.icloud.com	31
monitor.uu.qq.com	29
p67-keyvalueservice-china.icloud.com	29
mobile.pipe.aria.microsoft.com	28
nexusrules.officeapps.live.com	27
dns.weixin.qq.com	15
safebrowsing.googleapis.com	12
szextshort.weixin.qq.com	12
p67-escrowproxy-china.icloud.com	8
setup.icloud.com	8
wx.qlogo.cn	6
s.f.360.cn	5
dr.hy.baidu.com	4
officeci-mauservice.azurewebsites.net	4
pcs-sdk-server.alibaba.com	3
xdcs-collector.ximalaya.com	3
apilocate.amap.com	2
up.hy.baidu.com	2
adashx.m.taobao.com	1
ctldl.windowsupdate.com	1
sf.symcb.com	1
weather.kjjs.360.cn	1

汇总情况分析：

   通过国内第三方域名情报网站 微步在线（https://x.threatbook.cn/）和深信服安全中心(https://sec.sangfor.com.cn/analysis-platform)进行查询，表中35个域名均没有警报提示；通过排除传播病毒木马的可能。

2.3. 分析结论

1. 内网现时不存在通过9.9.9.9进行域名解析请求的情况；

2. 通过8.8.8.8进行域名解析请求的域名，均为安全域名；

3. 综上所述，内网未发现通报中的恶意通信行为及其他请求解析恶意域名的通信行为。

感谢楼主分享，针对恶意通信根据对于域名进行数据抓取和分析从而判断具有残留（抓取一定时间范围内的数据是有效的），同时也建议针对该背景下可以在对应防护设备上进行恶意域名封堵更好，感谢分享哈

您好，感谢您参与社区原创分享计划8，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

··································~~~~~~~

好，真棒，太棒了，简直太棒了

感谢分享，恶意行为必须加强防范

您好,看到了您的结论，3天内，未发现恶意域名解析。我想请教一下，为什么之前告警会出现t.amxny.com、t.tr2q.com、t.awcna.com这三个恶意域名解析，我在流量设备也看到这种指向恶意域名的告警，只是告知了领导，还没有开始排查。

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！