一、背景
近期腾讯安全御见威胁情报中心检测到“永恒之蓝下载器木马”使用DGA(随机生成)域名进行攻击。黑客入侵系统后,通过安装计划任务修改hosts文件,将生成的DGA(随机生成)域名映射到其控制的服务器IP地址,随后利用该域名进行恶意代码下载和执行。病毒的这一行为将会对仅根据恶意域名进行检测的网络防御系统造成新的威胁。
二、篡改HOSTS指向随机域名
域名生成算法为-join([char[]](Get-Random-Count(6+(Get-Random)%6)(65..90+97..))),ASCII编码65到90是大写字符A到Z,97到是小写字母a到z。Count为取的字符个数,Conut值由6+(0~5)(随机数除以6取余),也就是取6~11个随机大小写字母组合+.