What fully qualified domain name (FQDN) does the Cerber ransomware attempt to direct the user to at the end of its encryption phase?
Cerber 랜섬웨어는 암호화 단계가 끝날 때 사용자를 어떤 정규화된 도메인 이름(FQDN)으로 안내하려고 시도합니까?
우선 Cerber 코드로 검색 후 이것저것 필드값을 살펴본다
"cerber" sourcetype="stream:dns"
SQL
복사
dns로만 잡았더니 결과가 너무 많아 출발지IP를 지정해줬고 쿼리문도 기본적인 쿼리문들이 많아 제외해줬다.
cerberhhyed5frqa.xmfir0.win 라는 “cerber”가 들어가는 DNS가 식별됐다.
sourcetype="stream:dns" src_ip="192.168.250.100"
| search query="*.*" AND NOT query IN ("*microsoft*","*.arpa","*.local","*windows.com","*digicert.com","msftncsi.com","*bing.com","*.live.com","*.windowsupdate.com","*.msftncsi.com","*symc*.com","*msn.com")
| table query
SQL
복사
