Query DNS con stringa esadecimale che è SHA1 di un nome di dominio! È un malware?

1

Il mio computer esegue molte query su domini strani come:

56cea5c2b408989ab067adcb787d0f99209bbe07.mydomain.com

La cosa strana è che 56cea5c2b408989ab067adcb787d0f99209bbe07 è lo SHA1 della stringa "Ebay.com"

È un malware? Sembra che costruisca query nascoste al ben noto sito web.

---- EDIT ----

Questo non è l'unico prefisso del dominio SHA1 che ho trovato, un altro esiste per "Twitter.com".

Un altro fattore che devo aggiungere alla discussione è che quando trovi una stringa HEX di 16 o 20 è molto probabile che sia un hash. La prima cosa che puoi fare è una ricerca su Google. Esistono molti siti Web che raccolgono stringhe hash (MD5 o SHA1). Prova a inserire la stringa HEX in google e vedi:)

    
posta robob 15.02.2012 - 22:54
fonte

3 risposte

2

Pura speculazione, ma ho dovuto provarlo (sempre divertente giocando Sherlock Holmes ogni tanto - la versione pre-Hollywood ovviamente).

Prima di tutto, è possibile, o addirittura probabile che .domainname.com venga automaticamente aggiunto dal tuo sistema operativo. È abbastanza comune aggiungere un suffisso di dominio per le query DNS per un nome host senza estensione. La mia ipotesi si basa quindi sul fatto che alcuni programmi hanno semplicemente provato a risolvere 56cea5c2b408989ab067adcb787d0f99209bbe07 senza alcuna estensione. Questa parte della teoria è facile da controllare sul tuo computer però.

Perché un programma tenta di risolvere {something_random} o {hash_of_something} ? Sto solo cercando di verificare se la risoluzione dei nomi funziona, e anche cercando di evitare il caching o i record di /etc/hosts statici.

Perché hash('ebay.com') ? Questa è la parte più strana, ma forse lo sviluppatore non è riuscito a trovare un modo migliore per generare un valore casuale? quindi stavano solo inserendo alcune stringhe nella funzione hash? Questa è la parte più strana, ma potrebbe esserci una semplice spiegazione (cioè lo sviluppatore è semplicemente stupido / sciocco / eccentrico).

    
risposta data 16.02.2012 - 00:43
fonte
1

È un browser web?

Alcuni browser limitano le connessioni concorrenti a 2 quando si accede a un nome di dominio. Un hack delle prestazioni consiste nel creare un nome DNS con caratteri jolly che si risolve nel sito www.

Quando javascript o un'app lato server generano URL sul server, sono consentiti download simultanei.

È un'app?

Inoltre, il framework .NET limita anche le connessioni in uscita. Lo sviluppatore potrebbe non conoscere system.net.servicepointmanager.defaultconnectionlimit , o come sovrascriverlo su un per-host o per-appdomain. Potrebbero usare un hack simile anche se non è necessario.

La mia ipotesi è che qualcosa di simile si applica a Java, ecc ...

Infine, potrebbe essere qualcosa di dannoso. Dipende ...

    
risposta data 15.02.2012 - 23:23
fonte
0

Sarei interessato a vedere l'estensione del file e forse le intestazioni HTTP del sito che stai citando. È effettivamente Ebay.com? Come posso riprodurre questo? Maggiori dettagli sarebbero apprezzati.

Un modo in cui ciò potrebbe essere utile è limitare l'ambito di vulnerabilità per alcuni attacchi di "stessa origine" presenti in Javascript, Flash e altri plug-in brower.

Ad esempio, immagini infettate con Gifar o documenti infetti possono invocare javascript per" fare cose "con dati sullo stesso dominio DNS. Un modo semplice per proteggersi da questo è servire i file da un dominio DNS diverso.

Esempi:

https://96a077f305f5720221b338863ea8e3d7.userfiles.com/tech/SecurityPolicy.docx - OK
https://fd4929a6ea48f85130f5a43f89cb7dd6.userfiles.com/Accounting/budget.xls - OK
https://fd4929a6ea48f85130f5a43f89cb7dd6.userfiles.com/Accounting/Budget.xls  - Fails MD5 Checksum
https://fd4929a6ea48f85130f5a43f89cb7dd6.userfiles.com/Accounting/forecast.xls - Fails MD5 checksum

Vedi altri dettagli di implementazione qui

    
risposta data 23.02.2012 - 16:06
fonte

Leggi altre domande sui tag