Архив новостей

По следам алгоритма

Американские исследователи разработали новую методику отслеживания участников fast-flux сетей, основанную на анализе DNS-трафика в реальном времени.

Операторы ботнетов нередко используют технологию динамической перерегистрации доменов/IP-адресов (fast-flux), чтобы повысить жизнестойкость командной инфраструктуры. Реализовать ее помогают специальные алгоритмы, которые с заданной частотой воспроизводят длинные списки доменных имен, сгенерированных на основе случайной выборки. Пытаясь связаться с центром управления, бот последовательно перебирает позиции списка и направляет запросы DNS-серверу до тех пор, пока не обнаружит работающий домен. Генератором доменов снабжены, например, Kraken, Sinowal, Waledac, Kido, а также последняя модификация ZeuS.

Исследователи из техасского университета агрокультуры и машиностроения (Texas A&M) и калифорнийской компании Narus Inc. предлагают отлавливать таких опасных участников Сети, изучая DNS-трафик. Если большое число доменов, запрошенных из одного источника, привязано к одному и тому же блоку IP-адресов, это классифицируется как аномалия. В таких случаях проводится поиск признаков, указывающих на автоматизацию процесса создания доменных имен. Анализ комбинации и распределения буквенных знаков и биграмм (пар символов) в каждом имени позволяет выявить определенные закономерности и при их наличии с уверенностью заключить, что источник DNS-запросов заражен. Получив соответствующий сигнал, системный администратор может поставить фильтр и лишить бот связи с центром управления.

Обычно борцы с ботнетами стремятся выявить и нейтрализовать все домены, связанные с деятельностью конкретной fast-flux сети, и прибегают к обратному инжинирингу, чтобы определить алгоритм генерации доменных имен. Это долгий и ресурсоемкий процесс, а приобретение прав на сотни и тысячи доменов, которые злоумышленники не успели зарегистрировать, требует дополнительных капиталовложений. Кроме того, пока исследователи решают эту непростую задачу, владелец ботнета может обновить генератор доменов, и тогда все усилия по ликвидации источника угрозы пойдут прахом.

Методика, предложенная американскими академиками, позволяет преодолеть эти трудности. Она пригодна для отслеживания активности в ботнетах, использующих как ротацию доменов (domain fluxing), так и динамическую смену IP-адресов (IP fluxing). Испытания на выборке из 500 доменных имен в одной TLD-зоне показали эффективность 100% без ложных срабатываний. При уменьшении размеров выборки до 50 показатель эффективности не изменился, но в 15% случаев положительный результат оказался ошибочным. Работа была представлена на конференции ACM по интернет-измерениям (Internet Measurement Conference, IMC), только что завершившейся в Мельбурне.

По следам алгоритма

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике