얼마전 작성했던 DNS MX 쿼리 증가 관련 글에 약간 추가할 내용이 생겼습니다.
http://malwarelab.tistory.com/33
http://malwarelab.tistory.com/34
그때 당시 캡쳐했던 패킷에서 제가 지나쳤던 부분이 있었는데 바로 imrabot이라는 녀석이었습니다.
악성 도메인으로부터 파일을 받아서 실행을 하고 스팸메일을 뿌리기 바로 직전에 통신 내용입니다.
bot_id와 mode라는 파라미터값을 전달하자 이상한 값들이 리턴되고 있습니다.
해쉬값인듯 한데 마지막에 == 이 있어서 baase64인가보다 하고 디코딩을 시도해봤지만 base64로 인코딩된게 아니었는지
정상적으로 디코딩이 되지 않았습니다.
최근 급증하고 있는 DNS MX 쿼리는 이 녀석이 확실한 듯 하구요
정보를 찾다가 일본 사이트에서 좋은 정보를 찾을 수 있었습니다.
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%CA%CC%A4%CEspam+bot
Fast Flux라는 기법이라고 지인분께 들었는데요
Fast Flux는 nchovy 사이트를 참조하시면 되겠습니다.
솔직히 전 잘 이해가 안갑니다...ㅜ.ㅜ
이해가 잘 되시는 분들께서 알려주시면 감사~하겠습니다.
http://nchovy.kr/forum/5/article/184
Fast Flux라는 기법이라고 지인분께 들었는데요
Fast Flux는 nchovy 사이트를 참조하시면 되겠습니다.
솔직히 전 잘 이해가 안갑니다...ㅜ.ㅜ
이해가 잘 되시는 분들께서 알려주시면 감사~하겠습니다.
http://nchovy.kr/forum/5/article/184
