一、了解网络环境,对应的源IP是做什么的1、内网DNS环境场景解析:
内网存在主机N,是真实中毒主机,其本地网络配置“DNS服务器”设置为“内网DNS服务器IP”。主机N中毒后,请求解析恶意域名,此时请求流量走的是流量C和流量B,也即 主机N --> 内网DNS服务器 --> AF --> Internet,对于AF来说,主机N是不可见的,AF只检测到内网DNS服务器的流量,故报的是内网DNS服务器的告警,本质是一种代理行为,而实际DNS服务器是正常的。
对于非DNS协议的流量请求,如解析出恶意域名的地址后,主机N是直接走的AF(流量A),但这个流量往往是AF识别不了的。
这种场景需要开启恶意域名重定向解决。
2、内网邮件服务器环境:
场景解析:
3、由于内网邮件服务器开启了反垃圾邮件功能,此时则要检查a.com是否已 经被认定为“垃圾邮件”服务器
4、内网邮件服务器首先解析a.com的IP,即做了一次DNS解析
5、此时a.com在僵尸网络识别库里,因此AF对内网邮件服务器产生告警
6、内网邮件服务器拿到IP后,以特定格式向“公网反垃圾邮件服务器”查询 该IP是否属于“垃圾邮件”服务器IP
7、如果“公网反垃圾邮件服务器”返回应答“你查询的IP xx.xx.xx.xx是垃圾邮件服务器”,则这份邮件会被标记为“垃圾邮件”,或者干脆丢弃,实际邮件服务器是正常的。
二、检测电脑终端
1、安装EDR查杀电脑;没有安装EDR服务器的情况下,可以申请试用客户端授权进行查杀。
2、AF界面显示已失陷主机,可以通过AF的用户安全进行举证分析,如日志无法确定终端来源,则还需在源IP与AF内外口进行抓包对比,确定源IP来源。
3、手动查杀本文不涉及。