Amazon (AWS) zagent это вредоносная программа / удаленный?

1093
mr.infin8

я запустил команду netstat и нашел некоторые амазонские tcp соединения, которые я не знаю 

zagent1644.h-cdn.com 142.44.212.29  zagent1642.h-cdn.com 145.239.8.193  zagent859.h-cdn.com 217.182.138.56  zagent1678.h-cdn.com 54.37.85.231

Могут ли они быть похожими на API, который посылает команды от RAT на шпионское ПО внутри моего компьютера? ты имеешь представление о них?

-2
В каком смысле вы считаете, что это «амазонка» TCP-соединения? Кроме того, где вы это видите? Это персональный компьютер или сервер? Michael - sqlbot 6 лет назад 0
Посмотрите IP-адреса через http://whois.arin.net/ui/ и обратитесь к точке контакта, если хотите. Pimp Juice IT 6 лет назад 0
Это мой персональный компьютер, и я знаю, что Amazon владеет ими, потому что домен h-cdn зарегистрирован в Amazon. Некоторые говорят, что удаленное вредоносное ПО может быть размещено в Amazon, поэтому его не поймают. mr.infin8 6 лет назад 0

1 ответ на вопрос

2
Ivan

Ничего из этого не имеет никакого смысла. Давайте начнем с самого начала.

Кто такой h-cdn.com?

$ whois h-cdn.com Domain Name: H-CDN.COM Registry Domain ID: 1941013588_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.godaddy.com Updated Date: 2017-05-11T05:47:51Z Creation Date: 2015-06-22T13:21:45Z Registry Expiry Date: 2019-06-22T13:21:45Z Registrar: GoDaddy.com, LLC Registrar IANA ID: 146 Registrar Abuse Contact Email: abuse@godaddy.com Registrar Abuse Contact Phone: 480-624-2505 Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited Name Server: NS-1336.AWSDNS-39.ORG Name Server: NS-1696.AWSDNS-20.CO.UK Name Server: NS-421.AWSDNS-52.COM Name Server: NS-608.AWSDNS-12.NET

Похоже, этот домен обслуживается серверами имен Amazon, но нет никаких признаков того, что Amazon является регистрантом. Тот факт, что GoDaddy является регистратором, является подозрительным; они не задают вопросов об идентификации клиентов и ужасно реагируют на жалобы о злоупотреблениях, поэтому они популярны среди мошенников и авторов вредоносных программ.

Все четыре из перечисленных IP-адресов назначены OVH, аналогично Amazon, но отличаются тем, что в наши дни, похоже, они не имеют никакого законного бизнеса, кроме предоставления инфраструктуры для бот-сетей, сканеров / скребков, рекламных сетей и других сетей. Так что это тоже.

Что еще я видел в h-cdn, так это большое количество трафика TCP, связанного с поддоменами h-cdn.comпорта 443, с IP-адресами dst, назначенными Leaseweb, еще одному интернет-образцу целостности и добродетели.

Наш брандмауэр сбивает весь этот трафик, поэтому у меня нет метрик. Amazon не имеет к этому никакого отношения, и ни одна из остальной инфраструктуры, имеющей здесь отношение, не имеет чистой истории, но нет никаких доказательств того, что мы смотрим на вредоносные программы или RAT; учитывая контекст, в котором я вижу подобный трафик, окружающий эти события, я предполагаю, что мы имеем дело с рекламной сетью, использующей веб-сокеты, чтобы держать соединения открытыми (чтобы шпионить / «выполнять поведенческую аналитику» над пользователями), поэтому, почему вы видите это в NetStat.

Похожие вопросы