一个朋友最近追查“海莲花”时候发现了一个有趣的现象,并表示不能理解,我协助其看了一下。
正文
众所周知,海莲花的攻击活动是非常依赖于CobaltStrike的,此处也不例外。从样本中解密出的配置文件中C2地址的相关配置如下:
"C2Server": "45.79.123.110,/s/ref=nb_sb_noss_1/431-41515125-1908214/field-keywords=start,javasynctime.com,/s/ref=nb_sb_noss_1/431-41515125-1908214/field-keywords=start",
可以看到有两个C2地址。这位朋友的问题是:当运行该木马时,javasynctime.com会解析到另外的IP地址。但是当用服务器去解析该域名时,又会解析到45.79.123.110。后来我使用全球DIG【dig.ping.pe】进行了追踪其在各处的解析情况。
会发现其在中国大陆境内的IP解析是混乱的。当然,也可以说明朋友的服务器是境外的。其实这种现象就是我们常说的“DNS污染”,大陆境内的解析都被污染就说明这个域名被“铁拳出击”。不过令我惊讶的是之前从未发现有APT相关域名被“铁拳出击”的情况,这种行为还是第一次见到。
IOC
45[.]79[.]123[.]110
javasynctime[.]com