借助Alice情报平台对“流量异常”线索的一次分析

围观次数:709 views

一、案例

之前使用“网页流量木马分析系统”发现了很多异常线索,现在我们可以使用“Alice威胁情报平台”对这些信息作进一步分析,获取更多的信息。

1.对 www.samair.ru 域名进行分析

以下是“网页流量木马分析与检测系统”发现的异常行为:有内网ip访问 www.samair.ru 这个可疑域名,接下来对 www.samair.ru 进行威胁情报收集,判断该行为是不是一个恶意行为。

11

如下图,/proxy/proxy-11.html说明这有可能是内网某些用户设置了该网站的代理访问境外网站,也有可能是内网中了恶意程序,成了这个网站所属僵尸网络的一部分。

22

继续分析,曾经有恶意的病毒程序使用这个网站的域名,同时,此域名与正常业务无关的,表明 www.samair.ru 是一个应该被禁止访问,或者限制访问的域名。

33

2.对59.106.13.47进行分析

以下是“网页流量木马分析与检测系统”发现的异常行为,有一个ip 59.106.13.47需要进一步分析

44

使用天际友盟Alice分析,没有发现明显的异常信息,但是该系统可以对59.106.13.x的c段所有ip进行威胁情报展示。

55

接下来可以对c段中与59.106.13.47间隔最近的59.106.13.35、59.106.13.40进行分析。

66

以下是59.106.13.40的分析结果,可以看到与多种恶意样本关联。

77

以下是59.106.13.35的分析结果,可以看到与多种病毒名称关联。

88

以上分析结果表明,两个ip与多种病毒样本有关联,属于恶意ip地址,进一步分析得知,这两个ip同处在一个c段的59.106.13.47也是有风险的,应当禁止访问。

3.该系统在其它领域的应用

输入ms08067,可以查询到哪些恶意程序是与ms08067远程溢出漏洞有关的。

99

输入“熊猫烧香”,可以看到那些网站曾经与该病毒关联过。

12

二、结论

通过“天际友盟Alice平台”,可以对很多疑似的恶意行为进行威胁情报收集。本次实例中,“天际友盟Alice系统”对异常访问 www.samair.ru 、 59.106.13.47 的行为做了进一步分析,提供了大量有价值的威胁情报。最后得出结论,两个行为均属于恶意行为,对局域网的安全性有很大的威胁,其主要威胁在于,这两个域名或ip都与多种病毒有关联,局域网用户访问这些网址,或者将其设置为代理ip,很可能会感染病毒或者木马。当然也可能局域网的某一台ip已经成为了其僵尸网络的一部分,这需要管理员结合这些威胁情报到现场做进一步排查。

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助