由于最近一段时刻里”驱动人生”这个病毒还挺抢手，最近发现经过一些安全厂商的设备发现内网里边有许多的主机都中了这个病毒瞬间吓哭了。后续经过对主机进行查看，竟然没有发现什么问题，后续发现是安全设备命中了一个要挟情报的IP，经过对IP的剖析发现这还有这种操作。

0×1 进程
然后我登录上了安全设备去查看IP地址，安全设备提示为：120.52.51.13，作为安全小白经过各种搜集定位到了freebuf的一篇文章结束公布出来的IOC里边，相同的也有大佬在质疑这个IP是否真的有问题了。

然后这边直接拜访这个IP回来如下界面，看起来是缺了某一个参数感觉也没有什么大问题，看起来也没有什么运用，就先借助于要挟情报查询一下了。

经过对该IP的查询，提示为联通的IDC机房运用坐落河北廊坊，要挟情报提示为僵尸主机。

经过对微步在线的要挟情报进行查询提示不知道。

再一次经过VT进行一下剖析，这儿边的内容就要丰厚一些了，能够看到相关到了许多奇奇怪怪的URL和一些病毒样本，大多数时刻点仍是2019年2月到3月之间的信息。

在这些奇奇怪怪的URL傍边能够还发现许多闻名大公司的域名看考虑是iqiyi的cdn,仍是adobe的msp文件，看起来应该是的确实确的白域名才对。

在白域名的一起也发现了一些黑的域名比方a46.bluehero.in/download.exe。
该样本为蠕虫病毒bulehero详细剖析成果能够参阅：http://s.tencent.com/research/report/514.html。

0×3 测验
细心看了这些url发现有个特色跟在这个域名后的根目录的，都是网页途径所以斗胆的猜测这个应该是完成了一个根底的跳转功用，原理应该相似URL的Redirect这种操作。
大约的原理或许是这样至于为什么要这样玩，猜测原因或许如下：
1. 绕过一些要挟情报的检测
2. CDN的一些多节点加快下载拜访之类的优化
3. 流量署理或许绑架之类的
鉴于许多闻名厂商都有这种行为，猜测CDN优化或许流量署理的或许性大一些。可是这些关于许多安全来说的也确实存在一些绕过的或许。究竟这个IP服务器自己是没有什么问题的。
大致原理如下：

后续找了一台主机自己测验一下拜访，成果确实是直接回来相似与Redirect，直接在浏览器傍边回来了后续的网址的途径。输入www.baidu.com当时界面就直接跳转到百度。

本地抓包也看了一下发现本主机也是仅只与120.52.51.19建立了HTTP衔接。


经过对同网段的IP进行测验发现都是存在相同的状况：
120.52.51.13----- 120.52.51.20

0×4 抓包查看
由于没有拿到此web的详细完成的一些源码许多猜测也无法得到证明，所以在网关处进行抓包想看一下详细恳求的URL定位到如下2个：
120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/itbldiff_1914201900_1914201900.zip
120.52.51.13:80/osce11-ilspn30-p.activeupdate.trendmicro.com:80/activeupdate/pattern/crczdiff_1914002000_1914200400.zip
经过对内存进行查看最终定位到趋势科技的产品的进程，看起来应该是升级包一类的操作吧。

0×5 总结
经过一些查询发现仍是不少这样的IP服务器由于安全经验不足一时刻也搞不清楚背面的套路，一直觉得有点怪异或许是什么新姿态，可是对主机进行查看又没有发现其他反常开始以为此次行为这便是个误报就算结案了还好是虚惊一场，否则又得加班几点搞了最近现已快吃不消了，祝福各位IT大佬们少加班吧。