我们注意到，样本在对白域名 “raw.pastebin.com” 进行 DNS 解析时，获取到的A记录与正常机器并不一致，可以推测出问题应该出在 DNS 服务器。分析样本发现其选择的 DNS 服务器都指向一个服务商—— ClouDNS。

ClouDNS 是一家 DNS 托管服务提供商，其提供的 DNS 托管服务允许用户在自定义的域名空间里，任意设置该域名的 DNS 解析记录。虽然 ClouDNS 对自定义域名做出了部分限制，但仍有大部分白域名可以被利用。

指定 ClouDNS 给定的 IP 作为名字服务器，可以给白域名绑定任意 IP 地址，以此伪造出在与白域名进行通讯的效果。

在使用 ClouDNS 进行解析记录设置时，从面板上看似乎仅允许设置子域名的记录，Dark.IoT 使用的 raw.pastebin.com 也似乎印证了这一点。但经过测试，子域名留空时同样能设置 TPD 的 DNS 记录。

实际上，Dark.IoT 一直都有使用 ClouDNS 的习惯，其 C2 地址 “babaroga[.]lib” 的 TLD 甚至不属于 ICANN 里的顶级域名。我们推测可能是 Dark.IoT 作者最近才发现 ClouDNS 可以用于解析白域名，毕竟白域名的DNS请求远没有非法 TLD 结构域名请求可疑。

Dark.IoT 扫描器活跃度如下：

可以看到，在对新版本样本进行传播后，样本活跃度虽然有提高，但是效果并不明显。其原因在于扫描器资源投入不高，且目前的传播手段都是一些陈年老洞。

点击阅读原文至ALPHA 6.0

即刻助力威胁研判