Odd DNS TXT Record. Anybody Seen This Before?
A reader sent us an "odd looking" DNS TXT record. The record was recovered from an old, decommissioned, DNS server. Has anybody seen this before? The zone also include the Google Apps authentication records, so it is possible that this is a similar scheme. According to the reader, the change times on the file are from 2010, but it is not certain that these times are correct. The file was maintained manually, so it is unlikely that a bad ip management script corrupted it.
We have seen DNS TXT records used as a covert channel in the past, so it is is possible this attempts to try something like this, or that these records were used for reflective DNS attacks. At this point, I really have no idea and was wondering if someone else has seen this.
bradmbig TXT "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@" "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@" "@@@@@@@@@@Cc::.:::cc:C@@@@@@@@" "@@@@@@@Oc::....:...:::co@@@@@@" "@@@@@@c:::........:::::cc@@@@@" "@@@@@o:::::::c::::c:....:@@@@@" "@@@@O::::oooCoOOoCCOCc...O@@@@" "@@@@Oc.:CCCoCCOOOOCCCCC.:@@@@@" "@@@@@c::CCccoooOoooccoo..O@@@@" "@@@O@oCoCCCCCCCCoCCOCCoCoO@@@@" "@@@O@CCoCCOOCCCOCoCOCCoCCO@@@@" "@@@@@OCooCCCCCoooCCCCoooO@@@@@" "@@@OOO@OoooCccoocccCCooO@@@@@@" "@@@@OOOOCcooCCCCCCooco@@@@@@@@" "@@@@OOOOCocccoooCooccO@@@@@@@@" "@@@OOOOOCooocc:c::cooC@@@@@@@@" "@@O@OC..cCCoooCoCooooo.C@@@@@@" "@@O@c..:ooCCCCoocoCooo:.o@O@@@" "c..:....oCCCOCCCOCCoCo...:..cO" ".....:...oCCCCCCOOCOo....:...."
bradbig TXT "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@" "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@" "@@@@@@@@@@Cc::.:::cc:C@@@@@@@@" "@@@@@@@Oc::....:...:::co@@@@@@" "@@@@@@c:::........:::::cc@@@@@" "@@@@@o:::::::c::::c:....:@@@@@" "@@@@O::::oooCoOOoCCOCc...O@@@@" "@@@@Oc.:CCCoCCOOOOCCCCC.:@@@@@" "@@@@@c::CCccoooOoooccoo..O@@@@" "@@@O@oCoCCCCCCCCoCCOCCoCoO@@@@" "@@@O@CCoCCOOCCCOCoCOCCoCCO@@@@" "@@@@@OCooCCCCCoooCCCCoooO@@@@@" "@@@OOO@OoooCccoocccCCooO@@@@@@" "@@@@OOOOCcooCCCCCCooco@@@@@@@@" "@@@@OOOOCocccoooCooccO@@@@@@@@" "@@@OOOOOCooocc:c::cooC@@@@@@@@" "@@O@OC..cCCoooCoCooooo.C@@@@@@" "@@O@c..:ooCCCCoocoCooo:.o@O@@@" "c..:....oCCCOCCCOCCoCo...:..cO" ".....:...oCCCCCCOOCOo....:...."
bradmsmall TXT "@@@@@@@@@@@@@@@@@" "@@@@@8c:::cc8@@@@" "@@@O::....:::c@@@" "@@@::c:cc:c:..O@@" "@@8:cCCCOOCCC.8@@" "@@8ooCCCCoCCoo8@@" "@@8CoCCoooCCoo@@@" "@@88CoCoooooo@@@@" "@@88Oocooocc8@@@@" "@88c:CCooooo:O@@@" "Oc..cCCCCCCCc.:O8" ".....cCCCOCc....."
bradm TXT "@@@@@@@@@@@@@@@@@" "@@@@@8c:::cc8@@@@" "@@@O::....:::c@@@" "@@@::c:cc:c:..O@@" "@@8:cCCCOOCCC.8@@" "@@8ooCCCCoCCoo8@@" "@@8CoCCoooCCoo@@@" "@@88CoCoooooo@@@@" "@@88Oocooocc8@@@@" "@88c:CCooooo:O@@@" "Oc..cCCCCCCCc.:O8" ".....cCCCOCc....."
Application Security: Securing Web Apps, APIs, and Microservices | Washington | Dec 13th - Dec 18th 2024 |
Comments
Anonymous
Oct 21st 2015
9 years ago
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@Cc::.:::cc:C@@@@@@@@
@@@@@@@Oc::....:...:::co@@@@@@
@@@@@@c:::........:::::cc@@@@@
@@@@@o:::::::c::::c:....:@@@@@
@@@@O::::oooCoOOoCCOCc...O@@@@
@@@@Oc.:CCCoCCOOOOCCCCC.:@@@@@
@@@@@c::CCccoooOoooccoo..O@@@@
@@@O@oCoCCCCCCCCoCCOCCoCoO@@@@
@@@O@CCoCCOOCCCOCoCOCCoCCO@@@@
@@@@@OCooCCCCCoooCCCCoooO@@@@@
@@@OOO@OoooCccoocccCCooO@@@@@@
@@@@OOOOCcooCCCCCCooco@@@@@@@@
@@@@OOOOCocccoooCooccO@@@@@@@@
@@@OOOOOCooocc:c::cooC@@@@@@@@
@@O@OC..cCCoooCoCooooo.C@@@@@@
@@O@c..:ooCCCCoocoCooo:.o@O@@@
c..:....oCCCOCCCOCCoCo...:..cO
.....:...oCCCCCCOOCOo....:....
Anonymous
Oct 21st 2015
9 years ago
Anonymous
Oct 21st 2015
9 years ago
Anonymous
Oct 21st 2015
9 years ago
A sample:
""@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
"@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
"@@@@@@@@@@Cc::.:::cc:C@@@@@@@@"
"@@@@@@@Oc::....:...:::co@@@@@@"
"@@@@@@c:::........:::::cc@@@@@"
"@@@@@o:::::::c::::c:....:@@@@@"
"@@@@O::::oooCoOOoCCOCc...O@@@@"
"@@@@Oc.:CCCoCCOOOOCCCCC.:@@@@@"
"@@@@@c::CCccoooOoooccoo..O@@@@"
"@@@O@oCoCCCCCCCCoCCOCCoCoO@@@@"
"@@@O@CCoCCOOCCCOCoCOCCoCCO@@@@"
"@@@@@OCooCCCCCoooCCCCoooO@@@@@"
"@@@OOO@OoooCccoocccCCooO@@@@@@"
"@@@@OOOOCcooCCCCCCooco@@@@@@@@"
"@@@@OOOOCocccoooCooccO@@@@@@@@"
"@@@OOOOOCooocc:c::cooC@@@@@@@@"
"@@O@OC..cCCoooCoCooooo.C@@@@@@"
"@@O@c..:ooCCCCoocoCooo:.o@O@@@"
"c..:....oCCCOCCCOCCoCo...:..cO"
".....:...oCCCCCCOOCOo....:....?\
Anonymous
Oct 21st 2015
9 years ago
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@Cc::.:::cc:C@@@@@@@@
@@@@@@@Oc::....:...:::co@@@@@@
@@@@@@c:::........:::::cc@@@@@
@@@@@o:::::::c::::c:....:@@@@@
@@@@O::::oooCoOOoCCOCc...O@@@@
@@@@Oc.:CCCoCCOOOOCCCCC.:@@@@@
@@@@@c::CCccoooOoooccoo..O@@@@
@@@O@oCoCCCCCCCCoCCOCCoCoO@@@@
@@@O@CCoCCOOCCCOCoCOCCoCCO@@@@
@@@@@OCooCCCCCoooCCCCoooO@@@@@
@@@OOO@OoooCccoocccCCooO@@@@@@
@@@@OOOOCcooCCCCCCooco@@@@@@@@
@@@@OOOOCocccoooCooccO@@@@@@@@
@@@OOOOOCooocc:c::cooC@@@@@@@@
@@O@OC..cCCoooCoCooooo.C@@@@@@
@@O@c..:ooCCCCoocoCooo:.o@O@@@
c..:....oCCCOCCCOCCoCo...:..cO
.....:...oCCCCCCOOCOo....:....
Anonymous
Oct 21st 2015
9 years ago
Anonymous
Oct 21st 2015
9 years ago
Clearly at least one other person thought of this, because this pastebin popped up today, also.
http://pastebin.com/cxee44Q9
Anonymous
Oct 21st 2015
9 years ago
Anonymous
Oct 21st 2015
9 years ago
This just looks like ASCII art. If you copy all the blocks from one of the nodes (billmsbig) and put line breaks between the pairs of quotes, it just looks like an old Ascii Art piece (someone's silhouette).
Nigel
Anonymous
Oct 21st 2015
9 years ago