Domini C & C usati da Troia Flame / Skywiper

3

Sto cercando di capire se qualcuno dei nostri clienti è stato infettato dal recente Trojan / worm Flame.

Ho accesso ai nostri registri proxy, quindi voglio cercare qualsiasi richiesta fatta ai domini C & C conosciuti.

In questo articolo, dice che usa 10 domini per i server di dominio C & C. Anche in un altro riporta che hanno trovato 50 domini C & C, IP e menzionate tecniche di flussante del dominio.

Sfortunatamente, questi server di dominio non sono pubblicamente noti (come ancora).

Qualcuno ha trovato fonti pubblicamente disponibili che menzionano gli attuali domini C & C

    
posta Dog eat cat world 31.05.2012 - 15:59
fonte

2 risposte

6

Per quanto ne so, Kaspersky è stata la prima azienda a scoprirlo e hanno scritto alcuni fantastici blog su di esso, con eccellenti dettagli sulle chiavi di registro, sui file ecc. che sono interessati ma non ci sono molte informazioni sugli indirizzi IP dei server CC. Ecco il loro blog più recente dettagliato le chiavi di registro ecc. -

link

e in un blog precedente, hanno parlato delle comunicazioni con i server C & C -

link

dicendo che

"I dati registrati vengono inviati al C & C attraverso un canale SSL nascosto, secondo una pianificazione regolare. Stiamo ancora analizzando questo, maggiori informazioni saranno disponibili sul nostro sito Web presto.

...... "

quindi penso che sia probabilmente meglio continuare a guardare il blog di Kaspersky come sembrano essere più avanti nell'analisi di Flame (anche se ovviamente può cambiare).

Secondo questo post (http://blog.cuckoobox.org/2012/05/29/cuckoo-in-flame/), i domini / ips vengono attivamente sfruttati, il che probabilmente spiega perché non è stato pubblicizzato nulla di ancora.

Aggiornamento: sembra che Kaspersky abbia identificato le informazioni sui server C & C - link .

    
risposta data 31.05.2012 - 18:05
fonte
3

L'unico articolo che ho visto finora che fornisce informazioni su IP o dominio è malwaresurival.net. Fornisce il seguente IP come uno dei server C & C: 91.203.214.72. Ecco l'articolo attuale: link

Modifica: questo sito ha ora molti più domini C & C su di esso. link (Dopo averlo aggiornato, ho appena visto che qualcun altro l'ha già collegato. andare avanti e tenerlo qui anche per riferimento.)

    
risposta data 31.05.2012 - 16:57
fonte

Leggi altre domande sui tag