Новые алгоритмы генерации доменов

Тема в разделе "Новости информационной безопасности", создана пользователем Dragokas, 30 ноя 2014.

  1. Dragokas
    Онлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.473
    Симпатии:
    4.303
    00271.jpg

    Боты, которые не могут соединиться с командным сервером, не имеют никакой ценности для злоумышленников, поэтому те стараются найти новые и более эффективные способы сохранения соединения. Указание URL командного сервера прямо в коде зловреда — плохой вариант. Другой способ — P2P-соединение между ботами с передачей URL между ними после вброса адреса на один из узлов. Ещё один — передача трафика через псевдоанонимную сеть Tor.

    Изменяя адрес командного сервера каждые несколько часов, хозяева ботнетов могут спокойно обходить защиту файрволов, чьи базы данных обновляются гораздо реже. Для генерации новых доменов злоумышленники используют алгоритм, код которого прописан в клиентском программном обеспечении и известен хозяину. Специалисты из антивирусной компании Seculert сообщают, что недавно злоумышленники усовершенствовали технику.

    Новая техника генерации доменов обнаружена в трояне Matsnu. Новая версия этого зловреда позволяет устанавливать количество доменов, генерируемых каждый день, а также срок использования старых доменов.

    00327.png

    Как видно на скриншоте вверху, Matsnu при генерации использует списки известных существительных (878 штук) и глаголов (444).

    00417.png

    Источник
     
    Kиpилл нравится это.

Поделиться этой страницей