Rivedendo i log DNS all'interno della mia azienda ho trovato molte strane richieste DNS da una macchina che coinvolgono quello che sembra uno schema DGA come mostrato di seguito (l'IP reale è stato offuscato):
04/07/2017 13:36:47 12C8 PACKET 0000000005492E80 UDP Rcv x.x.x.x 615f Q [0001 D NOERROR] A (4)ipv6(8)msftncsi(3)com(0)
04/07/2017 13:38:48 12CC PACKET 0000000014093AE0 UDP Rcv x.x.x.x bd65 Q [0001 D NOERROR] A (8)gjsqexfs(3)int(0)
04/07/2017 13:38:49 12CC PACKET 00000000104B8020 UDP Rcv x.x.x.x 05ac Q [0001 D NOERROR] A (8)gjsqexfs(7)company(3)sys(0)
04/07/2017 13:38:49 12CC PACKET 000000000AE7D830 UDP Rcv x.x.x.x 3f29 Q [0001 D NOERROR] A (8)gjsqexfs(6)domain(5)local(0)
04/07/2017 13:38:53 0EFC PACKET 000000D4A0454220 UDP Rcv x.x.x.x 5770 Q [0001 D NOERROR] A (4)ipv6(8)msftncsi(3)com(0)
04/07/2017 13:40:17 12EC PACKET 000000001347DCE0 UDP Rcv x.x.x.x 567f Q [0001 D NOERROR] A (7)amwvagu(3)int(0)
04/07/2017 13:40:17 12EC PACKET 0000000010EECC30 UDP Rcv x.x.x.x 473a Q [0001 D NOERROR] A (15)yumtigciicyjkyo(3)int(0)
04/07/2017 13:40:17 12EC PACKET 000000000F6C3AE0 UDP Rcv x.x.x.x d29b Q [0001 D NOERROR] A (13)sqyhdalqdytlm(3)int(0)*
Sono consapevole che ipv6.msftncsi.com è utilizzato da Microsoft per verificare la connettività, ma non ha idea di altri interni (probabilmente un processo di individuazione di host / servizi?).
In primo luogo credo che dietro a questo ci potrebbe essere un'infezione da malware, ma non sono state trovate evidenze.
La mia domanda è, potrebbe essere un processo / servizio di Windows dietro queste richieste?