Боты, которые не могут соединиться с командным сервером, не имеют никакой ценности для злоумышленников, поэтому те стараются найти новые и более эффективные способы сохранения соединения. Указание URL командного сервера прямо в коде зловреда — плохой вариант. Другой способ — P2P-соединение между ботами с передачей URL между ними после вброса адреса на один из узлов. Ещё один — передача трафика через псевдоанонимную сеть Tor.

Изменяя адрес командного сервера каждые несколько часов, хозяева ботнетов могут спокойно обходить защиту файрволов, чьи базы данных обновляются гораздо реже. Для генерации новых доменов злоумышленники используют алгоритм, код которого прописан в клиентском программном обеспечении и известен хозяину. Специалисты из антивирусной компании Seculert сообщают, что недавно злоумышленники усовершенствовали технику.

Новая техника генерации доменов обнаружена в трояне Matsnu. Новая версия этого зловреда позволяет устанавливать количество доменов, генерируемых каждый день, а также срок использования старых доменов.

003

Как видно на скриншоте вверху, Matsnu при генерации использует списки известных существительных (878 штук) и глаголов (444).

004

8 комментариев

  1. 20.11.2014 at 14:20

    Код, даже учитывая огрехи декомпиляции, явно писал какой-то недоучка.

  2. 20.11.2014 at 14:56

    GOTO уже никто не использует…. только студенты…

  3. 20.11.2014 at 16:31

    Да вы дебилы. Hex-Rays не узнаете.
    Это декомпилятор бинарника в псевдокод на C.
    Естественно он использует GOTO для сложных конструкций, которые чисто математически невозможно переписать иначе. Компиляция это однонаправленный необратимый процесс.

    • 20.11.2014 at 18:17

      Я то, как раз, прекрасно узнал стиль Hex-Rays, но возню со start_flag не смог бы «придумать» ни он, ни компилятор — это на совести программера.

  4. 21.11.2014 at 14:03

    А что мешает публиковать информацию для соединения с серваком на сайте не связанном с ботоводом? Через IRC норм инфа шлётся ещё, есть такой мировой опыт.

  5. 19.12.2014 at 17:43

    «…псевдоанонимную сеть Tor»? Теперь уже «псевдоанонимная»?

Оставить мнение