я запустил команду netstat и нашел некоторые амазонские tcp соединения, которые я не знаю
zagent1644.h-cdn.com
142.44.212.29
zagent1642.h-cdn.com
145.239.8.193
zagent859.h-cdn.com
217.182.138.56
zagent1678.h-cdn.com
54.37.85.231
Могут ли они быть похожими на API, который посылает команды от RAT на шпионское ПО внутри моего компьютера? ты имеешь представление о них?
Ничего из этого не имеет никакого смысла. Давайте начнем с самого начала.
Кто такой h-cdn.com?
$ whois h-cdn.com
Domain Name: H-CDN.COM
Registry Domain ID: 1941013588_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2017-05-11T05:47:51Z
Creation Date: 2015-06-22T13:21:45Z
Registry Expiry Date: 2019-06-22T13:21:45Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: 480-624-2505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: NS-1336.AWSDNS-39.ORG
Name Server: NS-1696.AWSDNS-20.CO.UK
Name Server: NS-421.AWSDNS-52.COM
Name Server: NS-608.AWSDNS-12.NET
Похоже, этот домен обслуживается серверами имен Amazon, но нет никаких признаков того, что Amazon является регистрантом. Тот факт, что GoDaddy является регистратором, является подозрительным; они не задают вопросов об идентификации клиентов и ужасно реагируют на жалобы о злоупотреблениях, поэтому они популярны среди мошенников и авторов вредоносных программ.
Все четыре из перечисленных IP-адресов назначены OVH, аналогично Amazon, но отличаются тем, что в наши дни, похоже, они не имеют никакого законного бизнеса, кроме предоставления инфраструктуры для бот-сетей, сканеров / скребков, рекламных сетей и других сетей. Так что это тоже.
Что еще я видел в h-cdn, так это большое количество TCP-трафика, связанного с поддоменами h-cdn.com порт 443 с IP-адресами dst, назначенными Leaseweb, еще одному интернет-образцу целостности и добродетели.
Наш брандмауэр сбивает весь этот трафик, поэтому у меня нет метрик. Amazon не имеет к этому никакого отношения, и ни одна из остальной инфраструктуры, имеющей здесь отношение, не имеет чистой истории, но нет никаких доказательств того, что мы смотрим на вредоносные программы или RAT; учитывая контекст, в котором я вижу подобный трафик, окружающий эти события, я предполагаю, что мы имеем дело с рекламной сетью, использующей веб-сокеты, чтобы держать соединения открытыми (чтобы шпионить /"выполнять поведенческую аналитику" над пользователями), поэтому, почему вы видите это в NetStat.