cNotes 検索 一覧 カテゴリ

大量のDNSクエリの発生 その2

Published: 2007/10/12

10/10の大量のDNSクエリの発生のつづき

DNSクエリの大量送信を行う端末は同時にいろいろな挙動を示す。主要な挙動は、

1. 感染後連続して5、6個のMalwareをDownloadする。(ただしdownloadしようとするMalwareの一部が存在しない)

2. 3つのhostとhttpを使用した通信を行う。

3. 2つのircベースのbotnetに接続する

4. 以下のサイトで自分のグローバルIPアドレスを調べる

 http://checkip.dyndns.org
 もしくは
 http://www.showmyip.com/
 http://www.showmyip.com/ja

5. DNS queryを利用して、以下のRBL、DNSBLに自分のグローバルIPアドレスが登録されていないかをチェックする。

 bl.csma.biz
 bl.spamcop.net
 cbl.abuseat.org
 combined.njabl.org
 dnsbl-2.uceprotect.net
 dnsbl.njabl.org
 dynablock.njabl.org
 list.dsbl.org
 no-more-funn.moensted.dk
 opm.blitzed.org
 sbl.spamhaus.org
 xbl.spamhaus.org 

6. 感染端末の情報をとあるHTTPサーバーに送信する。

7. 大量DNSクエリを送信し始める(この後継続的に)

8. 複数のhttpサーバーからspam送信のための情報?をダウンロードしてくる。(10月現在1サイトになっている)

  • 送信に利用する1000個のdomainとそれに対応するメールサーバー情報(MX)のリスト
 xxxxx.com|n.n.n.n|mail.xxxxxxx.com|m.m.m.m|
 :
 :
 ドメイン|IPアドレス|MX|MXのIPアドレス|
  • 別のサイトからその他の複数の情報をダウンロードしようとしている(今のところ一部が空)

9. spam送信開始

  • ダウンロードしてきた上記リストの1カラム目のみを利用している。
  • 1カラム目の中からランダムに選ばれたdomainを(なぜか)Return-pathに利用する。
  • 利用するMTAやMAIL FROM、RCPT TOはMalwareにコーディングされているものを利用しているようだ。

情報の利用方法がなんとなく中途半端な気がする。

ただし「8」「9」の挙動は、7/29頃から観測されているため今回の一連の挙動とは個別のものの可能性が高い。

大まかな挙動はこのような感じ。複数のMalwareを利用されて、4〜6(情報収集?)と7(DDoS?)と8〜9(spam)のような使われ方で4〜6の部分も興味深かったりするが、7だけ目的がよくわからない。やはりただのDDoSか?

[カテゴリ:botnet観察日記]

by jyake