为什么恶意软件会为一个划时代的时间转换器提出DNS请求？

Question

我正在分析恶意软件，我发现在沙箱中运行时，有两个可执行文件向www.epochconverter.com发出DNS请求。

为什么攻击者要通过向epochconverter.com发出网络请求来冒检测风险？有什么必要吗？

Answer 1

让我这样说，

现在，恶意软件通常连接到CNC ( Command and Conquer )域，它们经常与此域通信，通知黑客恶意软件现在处于活动状态，并等待以后的命令执行，这是当今正在使用的复杂方法的一部分。

• 恶意软件进入您的环境。
• 打电话给CNC让他们注意到他的激活。
• CNC会回复更多要执行的命令。
• 通常，恶意软件会使用DNS、Ex过滤来加密收集到的数据并将其发送给CNC进行解密，如果没有正确的工具，这是最难捕捉到的事情。

您提到的域看起来离线，但是可能是dns服务器，它会将从pc发送的任何数据重新定位到XML存储空间。

如果不能通过浏览器或ping测试访问网站..它可能只接受签名电话的请求。