標的型攻撃では、バックドアが接続するサーバの「ホスト名」を分かりにくくしようとするケースが増えている。

  標的となった多くの組織のITスタッフは、これらの攻撃を十分に認識している。彼らは疑わしいアクティビティを探すため、ログをモニタリングし続けている。

  管理者は以下に示したような、既知の悪しきロケーションに、突然接続するホストを発見するかもしれない:

mapowr.symantecs.com.tw
  • weloveusa.3322.org
  • boxy.3322.org
  • jj2190067.3322.org
  • hzone.no-ip.biz
  • tempsys.8866.org
  • zts7.8800.org
  • shenyuan.9966.org
  • xinxin20080628.gicp.net


  しかし現在では、ホスト名が変更されている。攻撃者たちは、意図的に紛らわしいドメイン名を登録しているらしく、現在、以下のような名称のホストを使用している:

  • ip2.kabsersky.com
  • mapowr.symantecs.com.tw
  • tethys1.symantecs.com.tw
  • www.adobeupdating.com
  • iran.msntv.org
  • windows.redirect.hm


  その動機は明白だ。忙しいIT管理者が、www.adobeupdating.comに接続するマシンについてファイアウォール・ログ・アラートをチェックしても、それを無視するかもしれない、と期待してのことだろう。「これはアップデートをダウンロードしようとしているPDFリーダーに違いない…」と。実際のところ、adobeupdating.comはザイールで第三者に登録されており、IPアドレスはオーストラリアを示している。