Tag: dga

Jak nieistniejące nazwy domenowe mogą pomóc w wykryciu botnetów DGA?

Data publikacji: 01/10/2015, piotrb

dga_icon

Algorytmy generowania domen (ang. Domain Generation Algorithm) używane są w botnetach do utrudnienia blokowania połączeń do serwerów Command and Control, a także do zapobiegania przejęciu infrastruktury danego botnetu. Ich głównym celem jest stworzenie dużej liczby nazw domenowych, które zwykle wyglądają jak pseudolosowe ciągi znaków, np. pkjdgjwzcr.pl. Tylko niektóre z wygenerowanych domen są rejestrowane przez botmastera, niemniej zainfekowane maszyny wysyłają zapytania DNS o wszystkie z nich. Z tego powodu boty mogą otrzymywać dużą liczbą odpowiedzi o nieistnieniu domeny (non-existent domain – NXDomain). W tym wpisie pokażemy na przykładzie różnych metod detekcji jak takie zachowanie może być wykorzystane do wykrycia botnetów DGA.
Czytaj więcej

Wykrywanie botnetowych domen DGA: o fałszywych alarmach w detekcji

Data publikacji: 17/04/2015, piotrb

dga_icon

Algorytmy generowania domen (Domain Generation Algorithms) używane są w botnetach do tworzenia specjalnie skonstruowanych nazw domenowych odsyłających do serwerów C&C. Ma to na celu uniemożliwienie przejęcia domen botnetowych lub utrudnienie zablokowania połączeń do tych serwerów (np. przez blacklisty). Domeny te składają się najczęściej ze zbitek losowych znaków, np.: gdvf5yt.pl, które dla ludzi nie mają żadnego sensu, ale z powodzeniem zapewniają łączność. Zajmując się wykrywaniem domen generowanych przez DGA (ich użycie opisywaliśmy np. tu i tu) natrafiliśmy na domeny, które w pewnym stopniu są podobne do tych botnetowych ze względu na dziwny wygląd, ale które jednak są używane do innych celów. Znajomość tych domen przydaje się w wyeliminowaniu dużej liczby fałszywych alarmów systemów detekcji botnetów DGA. W tym wpisie przedstawione zostaną przykłady niezłośliwego występowania takich dziwnych domen, a w kolejnym przypadki, które można rozpatrywać jako zagrożenie.
Czytaj więcej

Raport na temat botnetu Virut

Data publikacji: 21/02/2013, Łukasz Siewierski

Na przełomie stycznia i lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 43 nazwami domenowymi z końcówką .pl, które służyły do zarządzania botnetem Virut, a także do rozprzestrzeniania złośliwego oprogramowania. W wyniku tych działań ruch z komputerów zarażonych złośliwym oprogramowaniem Virut do centrum zarządzającego (C&C) botnetu został przekierowany do serwera kontrolowanego przez CERT Polska. Informacje, które znajdują się w raporcie to między innymi:

    • Codziennie serwer rejestruje około 270 tysięcy połączeń z unikalnych adresów IP.
    • Prawie połowa zainfekowanych maszyn znajduje się w jednym z trzech krajów: Egipt, Pakistan lub Indie.
    • Polska znajduje się na 19 miejscu pod względem liczby zainfekowanych maszyn.
    • Działalność kryminalna botnetu Virut może być powiązana również ze złośliwym oprogramowaniem typu FakeAV.
    • Niektóre wersje botów posiadały algorytm generowania nazw domenowych (DGA) oraz szyfrowanie strumieniowie, które są dokładnie opisane w raporcie.
    • Byliśmy w stanie rozróżnić kilkadziesiąt wersji Viruta.
    • Virut infekował maszyny z ośmioma różnymi systemami z rodziny Windows, od Windows 98 aż do Windows 8.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.

ZeuS – wariant P2P+DGA – analiza nowego zagrożenia

Data publikacji: 04/01/2012, CERT Polska

zeus p2p

Jesienią 2011 roku zarejestrowano infekcje nowym złośliwym oprogramowaniem. Analiza mechanizmu uruchamiania złośliwego oprogramowania, proces jego ukrywania, czy też sposób składowania konfiguracji wskazywały na ZeuSa. Jednak podczas monitorowania zainfekowanych maszyn nie udało się zauważyć charakterystycznej dla tego trojana komunikacji z centrum C&C. Po głębszej analizie okazało się, iż próbka to najprawdopodobniej nowa wersja trojana ZeuS oparta na upublicznionym przypadkiem kodzie.

zeus3_infograf-300x243

W nowej wersji trojana autorzy skupili się na eliminacji najsłabszego ogniwa – scentralizowanego systemu dystrybucji informacji.
Poprzednie wersje ZeuS-a oparte było o jeden (lub kilka) zdefiniowanych adresów, pod którymi dostępne było centrum zarządzania C&C. Pozwalało to łatwo namierzyć takie adresy i poprzez ich blokowanie uczynić botnet bezużytecznym. Badany wariant trojana wykorzystuje dwa nowe kanały komunikacyjne do pobierania nowych rozkazów (rys. po prawej):

 

  1. Komunikacja w sieci peer-to-peer
  2. Mechanizm Generowania Domen

W internecie dostępne były już wcześniej informacje na temat nowego wariantu zeusa (np: abuse.ch), ale – z informacji jakie posiadamy – dotychczasowa praca badawcza skupiała się na zarejestrowaniu i monitorowaniu ruchu do domen zeusowych. Podczas naszej pracy skupiliśmy się na poznaniu oraz monitorowaniu mechanizmów wymiany informacji przez sieć P2P oraz próbie zebrania danych na temat jej kształtu.

Czytaj więcej