Security Week и Dark Reading предупреждают: во избежание блокировки C&C-серверов ботоводы начали использовать фантомные имена узлов для внутренних коммуникаций. Новую технику обхода URL-фильтров и защитных веб-сервисов, оперирующих черными списками, обнаружили исследователи из ИБ-компании Cyren в ходе анализа поведения ботов Necurs, ныне часто использующихся для распространения вымогательского ПО.

Новая тактика, которую эксперты нарекли ghost host, заключается в подстановке несуществующих, только что зарегистрированных или легитимных имен хостов в HTTP-заголовки запросов после установки соединения с IP-адресом C&C. Дело в том, что использующие черные списки защитные решения обычно реагируют на «плохой» домен, а не на ассоциированный с ним IP, так как на сервере может размещаться как вредоносный, так и легитимный контент, и при блокировке сервера последний тоже станет недоступным.

Пользуясь этим, злоумышленники сознательно жертвуют доменом, по которому происходит первое обращение к командному серверу, а для дальнейших коммуникаций (отчет об успешном заражении, получение URL для загрузки других зловредов и т.п.) предоставляют ботам другие, ложные домены, которые могут быть привязаны к иному IP, — на установленное соединение это никак не влияет.

Более того, в зависимости от настроек C&C-сервер может отвечать ботам по-разному, получая от них сообщения, «кодируемые» в ходе формирования запроса подстановкой конкретного имени хоста. По свидетельству Cyren, для этого можно использовать любой HTTP-клиент с открытым исходным кодом, умеющий манипулировать заголовками пакетов, а список хостов-фантомов ботоводы, скорее всего, приписывают в коде.

Исследователи проверили эффективность этой техники обхода, с которой им еще не доводилось сталкиваться itw. Как оказалось, ни одна из популярных систем URL-фильтрации пока не блокирует фейковые имена доменов, используемые Necurs.

Категории: аналитика, вредоносные программы, Главное

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *