lunrac.com?

수상한 DNS 트래픽 발견. lunrac.com과 tcdn.me, 두 개의 도메인에 대한 DNS 조회 트래픽이 갑자기 증가했다.

더 수상한 건 조회를 시도한 서브 도메인 고유 개수가 트래픽 발생 개수와 같다. (lunrac.com의 경우) 145개의 서로 다른 서브 도메인에 한 번씩만 접속했다는 얘기. 뭐 하는 도메인이지? 하지만 구글링 해봐도 좀 수상쩍다 수준의 언급 뿐.

HTTP 트래픽 내역을 살펴봤다. 전부 크롬 웹브라우저 짓. 해당 시점에 크롬을 사용하지 않았는데? 참고로 프로세스별 트래픽 내역을 기록하려면 packetbeat.procs.enabled 설정을 이용하면 됨.

도메인별 접속 경로가 모두 비슷한 것도 수상. 악성코드인가? 내 PC가 좀비? 무서워서 웹브라우저 대신 curl로 접속해봤다.

ok? true? 뭔가 상태 체크하는 느낌인데? 크롬이 왜 저 많은 도메인을 체크할까? 다음은 해당 도메인들의 IP 위치 정보. 글로벌하다. 이게 봇넷 통신이면 대박! 구글 크롬이 뚫렸다

lunrac.com

tcdn.me

물론 그럴 가능성은 낮고, 그렇다고 구글이 사용자 자원으로 딴 짓 할 리도 없고? 현재 의심 가는 건 크롬 확장 프로그램. 그중에서도 Browsec VPN. 전세계에 흩어져 있는 프록시 서버 상태 체크 트래픽이 아닐까 싶다. 삭제했으니 발생 패턴대로면 내일이면 알게 되겠지.

20.04.13
범인은 Browsec VPN

관련 글

• Packetbeat 활용
• Sysmon을 이용한 DNS 트래픽 추적
• Elasticsearch 활용(DNS Event Log 분석)