配景
近期恫吓谍报中央发掘威胁“启动人生”的挖矿蠕虫再次伶俐并做出了预警(详情能够参拜《威胁“启动人生”的挖矿蠕虫再次伶俐》一文),在分化团伙的新运动时恫吓谍报中央发掘了一些触及到Mykings家眷运动的表象,但未能得出肯定性的论断,在此分享出来供业界参考,渴望能增加更多维度的音信联合研判。
网络根基设备的堆叠在对“启动人生”威胁事宜下载木马的域名dl.haqo.net举行关连分化时,咱们重视到个中一个子域名js.haqo.net,在恫吓谍报中央的ALPHA平台中被打上Mykings的标签,该域名分化到IP81...35。
窥察81...35的音信,发掘该IP在年-年的时候段根基上是被Mykings家眷所运用,下图能够看到此IP绑定的域名险些满是Mykings运用的CC,域名格式为js.xxx.xxx,与Mykings的一些子域名格式一致,而且始终到年1月24日Mykings的浩瀚域名依旧分化到此IP上。而在年1月09日,进犯启动人生的幕后团伙所运用的域名js.haqo.net也分化到了这个IP。
为了进一步发掘更多的关连,运用ALPHA平台的恫吓关连分化功效,能够明显地看到haqo.net底下的三个子域名与Mykings的部份域名之间的关连:
在对两个事宜触及到的CC域名举行关连分化时,除了窥察域名是不是分化到类似的IP,还需求确认运用统一个IP的时候段是不是一致,假使时候段有堆叠,共用根基设备的或许性加大。咱们整治了进犯启动人生的团伙与Mykings运用上头提到的三个IP的时候段,以下表所示,能够发掘两者运用统一IP的时候段是有所堆叠的,显示出更强的关连度。
域名
IP
First_Seen
Last_Seen
“启动人生”挖矿蠕虫
js.haqo.net
81...35
/12/25
/1/28
Mykings
js.mys.info
81...35
/5/29
/1/27
Mykings
js.mykings.pw
81...35
/5/25
/1/22
“启动人生”挖矿蠕虫
ups.haqo.net
66..6.
/12/21
/12/21
“启动人生”挖矿蠕虫
v.haqo.net
66..6.
/1/7
/1/9
Mykings
down.mys.xyz
66..6.
/12/12
/12/12
Mykings
down.bye.pw
66..6.
/12/27
/1/22
“启动人生”挖矿蠕虫
ups.haqo.net
.25..
/12/21
/1/28
Mykings