web-dev-qa-db-ja.com

testgvbgjbhjb.comへの不審な呼び出し

過去数日間、エンドポイントの1つがtestgvbgjbhjb.comを呼び出し、その呼び出しはgoogle chrome外部からのものです。

TCPViewを使用して不審な接続を見つけ、不明な拡張子がないかどうかを確認しました。

ドメインの所有者はそれを127.0.0.1レコードにして、次のtxtレコードを設定しました。

「このドメインの所有者は、あなたのマシンがそれに到達する理由を知りません。所有者は、複数のネットワークで疑わしいトラフィックを見て、それを購入しました。」

次の分析を読みましたが、これらの呼び出しの原因を見つけることができません。

何か案が?

2
F.Rahamim

私には解決策があります。

質問に書き込んだurlscanのリンクを利用してHTTPタブをチェックしました。 [回答を表示]ボタンをクリックしました

私は各リクエストの応答をチェックし、ポップキャッシュスクリプトを確認しました。

<script type="text/javascript" src="//cdn.popcash.net/pop.js"></script>

この機能は、ウェブサイトのパブリッシャーがサイトで収益を上げるために使用する正当な広告サービスです。

訪問したWebサイトにこれらの広告を挿入し、自動的にポップアップを表示し、収益を上げるために3番目のWebサイトにユーザーをリダイレクトするアドウェアプログラムがいくつかあります。

OSで不要なプログラムを見つけました。プログラムのアンインストール後、呼び出しが停止しました。

3
F.Rahamim

このトラフィックは、問題のエンドポイントにインストールされたマルウェアがCommand&Controlサーバーに接続しようとした可能性があります。

よりランダムに見えるホスト名への接続試行が見つかる可能性があります。

ますます多くのマルウェアファミリが実装する ドメイン生成アルゴリズム は、C&Cサーバーのランダムに見えるホスト名が、マルウェア内の1つ以上のアドレスをハーコードするのではなく、決定論的アルゴリズムを使用して生成されるスキームです。
マルウェアの作成者は、サーバーにアクセスできるようにするために、これらの可能なドメイン名の1つだけを登録する必要があります。ドメイン名がブラックリストに登録されているか、法執行機関によって停止されている場合、マルウェアの作成者はアルゴリズムに従って新しいドメインを選択するだけで、マルウェアはそれを見つけます。

このスキームの目的は、可能なサーバーアドレスのリストがマルウェアのサンプルから抽出され、法執行機関/マルウェア対策エージェントによって事前にブラックリストに登録または登録されるのを防ぐことです。

1
Lukas