一个ZoomEye查询搜尽BazarLoader C2
一个ZoomEye查询搜尽BazarLoader C2
在《" -"Cache-Control"
因为这个只是初步分析,意在获得更多更明显的特征,肯定存在误报的情况的,这里查询出157条数据,主要集中在443端口且都是https协议(顺带书哟下这个也跟样本IP 64.227.73.80:443是一致的),所以我们继续提取了证书里特征比较明显的"issuer" 进行特征观察: 很明显可以看出来"issuer"的证书大多数表现出来分词结构相似的情况,因为数据量不多,我肉眼手工提取了这些证书里的特征做了个特征集: 在配合前面掌握到的https服务返回的banner特征: 当然结合这两个条件还存在一些误报,所以进行一些排除运算: 所以最后得到的查询语句为: 一共得到254条数据,到这里实际上我们就已经实现了“一个ZoomEye查询打尽BazarLoader C2”的目标,当然少了不了数据分析的部分: BazarLoader C2 国家 Top 10 BazarLoader C2 运营商 Top 10 从这些结果来看,如果你经常对僵尸网络恶意IP地址进行追踪我想这些国家你可能并不陌生,当然我们对这些数据的证书里的域名及JARM进行提取: 证书中的域名统计 JARM 统计(有一些目标没有获取到JARM) : 这里顺带提一下单一的JARM表现不是很准,误报比较多,但是它还是有一定的统计学上,数据排除等上面有一定的意义的。 详细数据见:https://pastebin.com/Y9T4KKYr 本文只是个具体例子进行说明,理论相关详见: 谈谈网络空间“行为测绘” https://mp.weixin.qq.com/s/fQatA5iyewqRBMWtpVjsRA 题外话: 我觉得我搞的这些套路,真真的好用,真的!而且我也没秃顶,也没有不务正业,也还在搞技术,真的!真的!真的! **作者:heige@知道创宇404实验室 **
(ssl:"System,CN" ssl:"Amadey Org,CN" ssl:"O=Global Security,OU=IT Department,CN=example.com" ssl:"NZT,CN" ssl:"O=Lero,OU=Lero" ssl:"Security,OU=Krot" ssl:"O=Shioban,OU=Shioban")
+"HTTP/1.1 404 Not found" +"Server: nginx" +"Content-Type: text/html; charset=UTF-8"
-ssl:"OU=System" -ssl:digicert -"Content-Length" -"Connection: keep-alive"
(ssl:"System,CN" ssl:"Amadey Org,CN" ssl:"O=Global Security,OU=IT Department,CN=example.com" ssl:"NZT,CN" ssl:"O=Lero,OU=Lero" ssl:"Security,OU=Krot" ssl:"O=Shioban,OU=Shioban") +"HTTP/1.1 404 Not found" +"Server: nginx" +"Content-Type: text/html; charset=UTF-8" -ssl:"OU=System" -ssl:digicert -"Content-Length" -"Connection: keep-alive"
https://www.zoomeye.org/searchResult?q=(ssl%3A%22System%2CCN%22%20ssl%3A%22Amadey%20Org%2CCN%22%20ssl%3A%22O%3DGlobal%20Security%2COU%3DIT%20Department%2CCN%3Dexample.com%22%20ssl%3A%22NZT%2CCN%22%20ssl%3A%22O%3DLero%2COU%3DLero%22%20ssl%3A%22Security%2COU%3DKrot%22%20ssl%3A%22O%3DShioban%2COU%3DShioban%22)%20%2B%22HTTP%2F1.1%20%20404%20Not%20found%22%20%2B%22Server%3A%20nginx%22%20%2B%22Content-Type%3A%20text%2Fhtml%3B%20charset%3DUTF-8%22%20-ssl%3A%22OU%3DSystem%22%20-ssl%3Adigicert%20-%22Content-Length%22%20-%22Connection%3A%20keep-alive%22
美国 112 荷兰 53 德国 22 英国 15 罗马尼亚 11 捷克 8 拉脱维亚 8 摩尔多瓦 4 俄罗斯 4 法国 3
amazon.com 79digitalocean.com 68Unknown 14hosting.international 7itldc.com 7colocrossing.com 5ovh.com 5smarthost.net 5dedipath.com 4eonix.net 4
amadeamadey.at 46asdotaera.it 7baget.fr 1bigter.ch 3confarencastyas.it 3enjobero.ch 1example.com 33forenzik.kz 64gosterta.fr 2haner.it 3hangober.uk 5holdasdg.it 1holdertoysar.uk 4jerbek.fr 2jermegib.fr 3jersjersy.com 2kajekin.je 6komanchi.com 1ksorun.it 2laralabana.it 3maloregerto.it 6mataner.at 4monblan.ua 14munichresed.de 1nortenarasta.fr 1nztportu.pg 2ofgasrty.fr 2parismaote.fr 1perdefue.fr 7pnercon.tr 1pokilorte.es 7rosteranar.uk 1selfoder.gb 6smartoyab.it 1smartoyta.uk 1smartoytaas.it 4zalustipar.uk 3
2ad2ad16d2ad2ad22c2ad2ad2ad2ad7329fbe92d446436f2394e041278b8b2 92ad2ad16d2ad2ad22c2ad2ad2ad2ad47321614530b94a96fa03d06e666d6d6 322ad2ad0002ad2ad22c2ad2ad2ad2adce7a321e4956e8298ba917e9f2c22849 392ad2ad0002ad2ad0002ad2ad2ad2ade1a3c0d7ca6ad8388057924be83dfc6a 25