我们经常通过域名、IP信息来对攻击进行溯源。比如某机房内网被攻击,很多机器中了马,为了控制这些机器,通常需要一些域名、IP来进行通信。

此次也不例外,现在客户方面的技术通报了一个恶意域名为 xxx.info。但是互联网上调查没有任何信息,甚至该域名都没有解析。于是和客户方面要了具体的会话包以IP做条件进行了调研。发现有如下情况:

当然,该域名也是和以上的情况相同,互联网上没有他存在过的记录,也是没有解析。当时发现此情况做了一个推断,该host与IP是写在木马程序中的,并没有通过域名解析,且通过某种条件来决定通信所使用的host字段

后来逆向的同事证实了我的猜想。

感觉此次操作有点骚,记录一下。