Новые алгоритмы генерации доменов

Боты, которые не могут соединиться с командным сервером, не имеют никакой ценности для злоумышленников, поэтому те стараются найти новые и более эффективные способы сохранения соединения. Указание URL командного сервера прямо в коде зловреда — плохой вариант. Другой способ — P2P-соединение между ботами с передачей URL между ними после вброса адреса на один из узлов. Ещё один — передача трафика через псевдоанонимную сеть Tor.

Изменяя адрес командного сервера каждые несколько часов, хозяева ботнетов могут спокойно обходить защиту файрволов, чьи базы данных обновляются гораздо реже. Для генерации новых доменов злоумышленники используют алгоритм, код которого прописан в клиентском программном обеспечении и известен хозяину. Специалисты из антивирусной компании Seculert сообщают, что недавно злоумышленники усовершенствовали технику.

Новая техника генерации доменов обнаружена в трояне Matsnu. Новая версия этого зловреда позволяет устанавливать количество доменов, генерируемых каждый день, а также срок использования старых доменов.

Как видно на скриншоте вверху, Matsnu при генерации использует списки известных существительных (878 штук) и глаголов (444).

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.

Комментарии (8)

  • "...псевдоанонимную сеть Tor"? Теперь уже "псевдоанонимная"?

  • А что мешает публиковать информацию для соединения с серваком на сайте не связанном с ботоводом? Через IRC норм инфа шлётся ещё, есть такой мировой опыт.

  • Да вы дебилы. Hex-Rays не узнаете.
    Это декомпилятор бинарника в псевдокод на C.
    Естественно он использует GOTO для сложных конструкций, которые чисто математически невозможно переписать иначе. Компиляция это однонаправленный необратимый процесс.

    • Я то, как раз, прекрасно узнал стиль Hex-Rays, но возню со start_flag не смог бы "придумать" ни он, ни компилятор - это на совести программера.

  • GOTO уже никто не использует.... только студенты...

    • оптимизирующий компилятор вполне может.

    • Goto запросто может использовать какой-нить полиморфный автогенератор ботов

  • Код, даже учитывая огрехи декомпиляции, явно писал какой-то недоучка.