cNotes 検索 一覧 カテゴリ

DNS amp - ドメイン登録と攻撃のタイミングがずれたパターン

Published: 2013/10/11

攻撃用ドメインaa.10781.info

Aレコードが大量。

 % host aa.10781.info
 ;; Truncated, retrying in TCP mode.
 aa.10781.info has address 161.141.181.219
 aa.10781.info has address 161.141.181.220
 aa.10781.info has address 161.141.181.221
 aa.10781.info has address 161.141.181.222
 aa.10781.info has address 161.141.181.223
 aa.10781.info has address 161.141.181.224
 aa.10781.info has address 161.141.181.225
 :
 :
 :

なんですが、このドメインを利用した攻撃を最初に観測したのは

10/9 18:51ごろでした。

がしかし、NXDOMAIN。攻撃は成立せず。そのままの状態で23時直前までクエリが届き続いけていましたが、その後停止。

そして23時台?に、このドメインに上記のような大量なAレコードが登録されましたが、攻撃パケットは届かないまま。

時間が過ぎ1日半後

10/11 16時頃からこのドメインを利用した攻撃が再開(開始)。


たとえば攻撃サイトやリダイレクトサイト用のドメインが準備できていないのにそのドメインに誘導するトリガーメールが届き始めるような感染誘導攻撃失敗は多々観測していますが、これも同じような連携失敗パターンですかね。

DDoS攻撃用インフラ構築とそれを利用する攻撃者が別で、役割分担とかサービス化されたスキームでの連携ミスパターン?それとも単なるミス?

[カテゴリ:DNS観察日記]

by jyake