<div dir="ltr">On Tue, Nov 26, 2013 at 1:22 AM, Rubens Kuhl <span dir="ltr"><<a href="mailto:rubensk@nic.br" target="_blank">rubensk@nic.br</a>></span> wrote:<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div style="word-wrap:break-word"><div><div>Em 26/11/2013, à(s) 00:22, Mark Andrews <<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>> escreveu:</div><div class="im"><blockquote type="cite"><div style="font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">

In message <<a href="mailto:5293FA31.9030204@dnsbed.com" target="_blank">5293FA31.9030204@dnsbed.com</a>>, Dnsbed Ops writes:<br><blockquote type="cite">Hello,<br><br>My nameservers currently have been meeting the attacks.<br>

All  these queries are against one special domain, from the seemed fake IPs.<br>And those eat up the bandwidth quickly since I run the nameservers with<span> </span><br>hosting servers.<br>Can you help? Thanks in advance.<br>

</blockquote><br>The logs actually look like the queries are from recursive servers<br>following normal recursion looking at the mixture of flags and that<br>they are directed at a official server for the zone.<br><br><a href="http://ns6.cloudwebdns.com/" target="_blank">ns6.cloudwebdns.com</a>.<span style="white-space:pre-wrap"> </span>3600<span style="white-space:pre-wrap">    </span>IN<span style="white-space:pre-wrap">      </span>A<span style="white-space:pre-wrap">       </span>116.251.209.248<br>

<a href="http://ns6.cloudwebdns.com/" target="_blank">ns6.cloudwebdns.com</a>.<span style="white-space:pre-wrap">       </span>3600<span style="white-space:pre-wrap">    </span>IN<span style="white-space:pre-wrap">      </span>A<span style="white-space:pre-wrap">       </span>192.208.187.242<br>

<br>I suspect something is trying to detect whether there is nxdomain<br>redirection occuring by prepend a random string to<span> </span><a href="http://www.byw.so/" target="_blank">www.byw.so</a>.<br></div></blockquote>
</div>
</div><div><br></div><div>Which follows the known Chromium (main Google Chrome component) pattern of a few  random 10-character requests for every search query to make such detection.</div></div></blockquote><div><br></div>

<div>I didn't realize Chrome did that -- nice trick!  But in this case it's not Chrome... it's 6 chars of random ahead of the www.  Perhaps the domain was "randomly" selected by malware picking a new domain for its C&C every few days?  Unfortunately it's hard to guess without getting hands on one of the machines making the queries.</div>

<div><br></div><div>Damian</div></div></div></div>