Archive6月 2025

【标题】:xxxxx 发现 DNS 恶意请求
【客户名称】:xxxxxxx
【风险等级】:高
【告警时间】:2025-06-12 
【事件类型】:恶意请求行为
【受影响资产】:xxxxxxx 【详情】:[机器:xxxxxxx，请求恶意域名:mst2.mymst007.info，进程: C:\Windows\System32\wbem\scrcons.exe，请求次数:5，首次请求时间:2025-06-12 23:03:43， 最近请求时间:2025-06-12 23:03:43]

最近MSS运营中收到一条主机安全的告警，某客户的机器触发DNSLOG告警。但是这台机器本身也不提供服务，也没有公网ip，甚至已经很长时间都没人登录过，查看记录已经稳定运行几年时间了。这样的机器为什么会突然产生DNSLOG告警？

阅读更多

在应急排查现场，大家最怕的一类情况不是“清晰的恶意域名或 IP”，而是那种表面看起来一切正常的 HTTPS 流量 —— 仿佛业务流量，背后却藏着恶意的 C2 控制信道。当我们看到流量是云厂商 CDN、证书合法、访问域名看起来也没有问题的时候，应急人员的第一反应往往是：

“不会吧，这些都是正经的 CDN 域名，怎么可能是恶意的？”

但事实证明，攻击者正是利用了 CDN 这种“可信流量”的特性来隐藏自己的控制通道，这种技术被称为域前置（domain fronting）。

阅读更多