Экспертам швейцарской CERT удалось взломать DGA-алгоритм, используемый спам-ботами Tofsee/Gheg, и предсказать более тысячи доменных имен, которые в ближайший год будут служить для связи с C&C, сменяясь каждую неделю. Половина этих имен привязаны к TLD-домену Швейцарии (.ch) и уже временно закрыты для регистрации стараниями администратора реестра SWITCH и голландской НКО RoLR (Registrar of Last Resort), борющейся с абьюзами в европейских доменных зонах.

Как показал анализ, современный Tofsee способен за пару минут сгенерировать и отправить сотни спам-писем. В этом нет ничего необычного, однако тестируемый образец, скомпилированный 16 декабря, привлек внимание исследователей тем, что запрашивал домены, явно созданные по алгоритму. Некоторые из этих адресов используют региональный домен .ch, что, по словам аналитиков, большая редкость. Насколько им известно, в настоящее время швейцарский TLD-домен использует лишь Gozi, да и то лишь один из его 90+ вариантов.

Как оказалось, Tofsee действительно использует DGA, чтобы отыскать командный сервер. Разбор алгоритма показал, что он при каждом запуске способен сгенерировать (на основе текущего времени) 20 доменных имен, действительных в течение одной недели. Половина из них привязаны к TLD-домену .ch, половина — к .biz. Реализовав этот DGA на Python, исследователи получили список доменных имен, которые могут быть использованы Tofsee в последующие 52 недели.

Вознамерившись помешать ботоводам регистрировать создаваемые ботами ch-домены, участники CERT представили результаты анализа в SWITCH. После привлечения RoLR было принято совместное решение на время закрыть регистрацию всех возможных DGA-комбинаций имен (около 520) на уровне национального реестра. Попутно в SWITCH из чистого любопытства проверили запросы, поданные на один из NS-серверов .ch, и обнаружили, что спам-боты Tofsee довольно широко разбросаны по всему миру.

Тем временем вопрос с C&C-доменами Tofsee в зоне .biz остается открытым, так как их гораздо труднее заблокировать. Разумеется, крупные организации, телеоператоры и держатели репутационных баз могут воспользоваться черным списком, составленным швейцарской CERT, но это не сможет гарантировать 100-процентного успеха в борьбе с данным ботнетом. К тому же его операторы могут в какой-то момент обновить DGA, и практика показывает, что такой исход весьма вероятен.

Категории: Аналитика, Вредоносные программы, Спам