Flame/Skywiper特洛伊木马使用的C&C域

Question

我正在试图找出我们的客户是否感染了最近的木马/蠕虫火焰。

我可以访问我们的代理日志，所以我想搜索对“已知”C&C域的任何请求。

在这文章中，它说它使用10个域作为C&C域服务器。此外，在另一个报告中，他们发现了50个C&C域、IP和提到的域名熔接技术.

不幸的是，这些域服务器尚不为公众所知。

有没有人找到任何公开可用的资源，提到实际的C&C域？

Answer 1

据我所知，卡巴斯基是第一家发现它的公司，他们还在上面写了一些很棒的博客，上面有关于受影响的注册表项、文件等的详细信息，但是没有多少关于CC服务器IP地址的信息。这是他们最近的博客，详细介绍了注册表项等等-

http://www.securelist.com/en/blog/208193538/Flame_邦尼_青蛙_蒙克_和_BeetleJuice

在之前的博客里，他们谈到了与C&C服务器的通信-

http://www.securelist.com/en/blog/208193522/The_火焰_问题_和_答案

我是说

“记录的数据通过一个秘密的SSL通道定期发送给C&C。我们仍在分析这个问题；更多的信息将很快在我们的网站上获得。”

……“

因此，我认为最好还是继续看卡巴斯基的博客，因为他们似乎在分析火焰(尽管这显然可以改变)。

根据这篇博文(http://blog.cuckoobox.org/2012/05/29/cuckoo-in-flame/)，域名/ips正在被积极下沉，这可能解释了为什么到目前为止还没有发布任何信息。

更新:看起来卡巴斯基已经识别了C&C服务器上的信息- http://www.securelist.com/en/blog/208193540/The_房顶_是_在……上面_火_攻关_火焰_C_C_服务器。

Answer 2

到目前为止，我看到的唯一一篇给出任何IP或域信息的文章是malwaresurival.net。它提供了以下IP作为C&C服务器之一: 91.203.214.72。下面是实际文章：http://malwaresurvival.net/2012/05/29/is-the-flame-malware-a-trojan-or-worm/

编辑:这个网站现在有更多的C&C域名在上面。https://www.securelist.com/en/blog/208193540/The_房顶_是_在……上面_火_攻关_火焰_C_C_服务器 (在我更新了它之后，我刚刚看到其他人已经链接到它了。我也会继续把它放在这里作为参考。)