7up1t3r Postado Agosto 14, 2019 em 20:33 Compartilhar Postado Agosto 14, 2019 em 20:33 Boa tarde a todos. Eu estou com algumas conexões suspeitas em diversos endpoints, os hosts estão resolvendo para o endereço IP 195.22.26.248, já encontrei um malware em um endpoint há um tempo atrás que contatava esse endereço IP, além de que há diversos posts e reports relacionando esse endereço com ransomwares e malwares. Um dos endpoints eu consegui analisar no momento específico das conexões, ele tenta fechar a conexão nas portas 81 87, 80 e 443. Em alguns ao invés de tentar fechar a conexão ele faz uma requisição GET no host / URL meta.resetpixel.co que está sendo analisado por diversas pessoas em alguns sites de scan de reputação nos últimos dias. Alguém aqui tem conhecimento de alguma ameaça recente que está relacionado com esse host/endereço IP? Ele está hospedado na Claranet em Portugal, um dos malwares que encontrei antigamente que utilizou esse IP também usava alguns outros da mesma provedora, um dos malwares era um em VBScript e tinha uma versão VBE também, ele iniciava a requisição de conexão via wscript.exe. Era um malware desenvolvido por um muçulmano da árabia saudita, um tal de Ahmed King (AFHJQ), era basicamente um botnet com remote access. Atualmente, nas máquinas que analisei não encontrei nenhum indício de malwares, pode ter sido algum site em comum que os usuários acessaram que tinha algum recurso desse site no código-fonte (no caso do meta.resetpixel.co), quem sabe um javascript ou algo do gênero, mas é muito suspeito. No caso da conexão direta ao IP address, o endpoint que analisei a conexão foi feita através do PID de um processo utilizado frequentemente na máquina, que não tem relação alguma com o endereço IP em questão. O bom sinal é que o firewall está bloqueando e/ou resetando as conexões via RST packet. Link para o comentário Compartilhar em outros sites More sharing options...
DF69420 Postado Agosto 16, 2019 em 09:16 Compartilhar Postado Agosto 16, 2019 em 09:16 Estamos vendo isso a nível global nos últimos dias tambem. O IP parece ser um multihost e/ou um sinkhole da Anubis, e o tráfego relacionado pode ser apenas sobre ads em alguma página. A Anubis, um bom tempo atrás, não confirmou que esse IP seja um sinkhole específico pra hosts confirmados como maliciosos, mas raramente provedoras confirmariam isso. Pode ser um sinkhole de hosts suspeitos. Existem centenas de URL pra esse IP, mas a URL meta[.]resetpixel[.]co está sob suspeita de relação com ransomware. https://www.hybrid-analysis.com/sample/bcb4afe0f089237dbe4b49af3363f3f2f34bc90d71acb394ddbd47cdf03d44e9/5d53c18d028838a11d9ef9ec Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.