一个朋友最近追查"海莲花"时候发现了一个有趣的现象，并表示不能理解，我协助其看了一下。

正文# {#正文}

众所周知，海莲花的攻击活动是非常依赖于CobaltStrike的，此处也不例外。从样本中解密出的配置文件中C2地址的相关配置如下：

"C2Server": "45.79.123.110,/s/ref=nb_sb_noss_1/431-41515125-1908214/field-keywords=start,javasynctime.com,/s/ref=nb_sb_noss_1/431-41515125-1908214/field-keywords=start",

可以看到有两个C2地址。这位朋友的问题是：当运行该木马时，javasynctime.com会解析到另外的IP地址。但是当用服务器去解析该域名时，又会解析到45.79.123.110。后来我使用全球DIG【dig.ping.pe】进行了追踪其在各处的解析情况。

会发现其在中国大陆境内的IP解析是混乱的。当然，也可以说明朋友的服务器是境外的。其实这种现象就是我们常说的"DNS污染"，大陆境内的解析都被污染就说明这个域名被"铁拳出击"。不过令我惊讶的是之前从未发现有APT相关域名被"铁拳出击"的情况，这种行为还是第一次见到。

IOC# {#ioc}

45[.]79[.]123[.]110
javasynctime[.]com