Web-Angreifer starten Kreditaufnahme Domäne Generation Tricks von Botnetz-Typ malware

2014-01-08  |  Comebuy News

Hacker haben begonnen zu Domäne-Generation-Techniken, die normalerweise von Botnetz-Typ Malware verwendet, um die Lebensdauer der Web-basierte Angriffe, laut Sicherheitsexperten von Symantec antivirus-Firma.

Comebuy Verwandte Artikel: Security-Experten: 600.000 + Schätzung der Mac Botnet wahrscheinlich auf TargetStorm Botnet Bedrohung für Neujahr 2008Duqu Hacker Beweise von Befehl Servern, scheuern Spionage OpReport von Hack-Bedrohung für die tibetanischen Aktivisten als Köder in Angriff gegen ThemDDoS Botnet Kunden Start Integration von Apache Killer-Exploit verwendet heruntergefahren

Diese Domäne-Generation-Techniken wurden vor kurzem beobachtet, in einer Reihe von Drive-by-Download-Angriffe, die das schwarze Loch-Exploit-Toolkit verwendet, um Web-Nutzer mit Malware zu infizieren, wenn Sie kompromittierte Webseiten besuchen Symantec-Sicherheitsexperte Nick Johnston, sagte am Dienstag in einem Blog-Post.

Drive-by-Download Angriffe beruhen auf Rogue Code injiziert kompromittierten Webseiten im Hintergrund ihre Besucher an externe Domänen umleiten, die Exploit Toolkits wie Schwarzes Loch zu hosten. Dies geschieht in der Regel durch versteckten Iframe HTML-Tags.

Diese Toolkits überprüfen dann, ob die Besucher Browser anfällig-Plug-ins enthalten und ob irgendwelche gefunden werden, sie die entsprechenden Taten Laden um Malware zu installieren.

Web-Attacken haben in der Regel eine kurze Lebensdauer, weil Sicherheitsexperten arbeiten mit hosting-Provider und Domain-Registrare Herunterfahren Angriff Websites und missbräuchliche Domänennamen aussetzen.

Wegen ähnlicher Takedown Bemühungen zielen Botnet Command und Control (C & C) Server haben einige Malware-Autoren Sicherungsmethoden implementiert, die ihnen erlauben, die Kontrolle über infizierte Computer zurückzugewinnen.

Eine dieser Methoden beinhaltet die Kontaktaufnahme mit neuen Domain-Namen, die nach einem speziellen Algorithmus bei der primären C täglich generiert Malware & C-Server zugegriffen werden kann.

Dadurch können die Angreifer welche Domain-Namen kennen ihre Botnets versuchen werden, an einem bestimmten Datum, Kontakt, so dass sie im Voraus zu registrieren und sie zum Ausstellen von Updates verwenden.

Ein ähnliches Verfahren wurde in die Black-Hole-AnschIäge verwendet. Die Domain-Namen in den URLs, die von der versteckten Iframes geladen auf einer täglichen Basis geändert und wurden von einem Datum-abhängige-Algorithmus generiert.

Die Angreifer registriert alle Domänen, die dieser Algorithmus bis 7. August generiert wird, um sicherzustellen, dass ihre Angriffe bis zu diesem Zeitpunkt funktioniert, ohne dass Änderungen an den Code in kompromittierten Webseiten eingefügt werden.

"So weit wir einen kleinen aber stetigen Strom von kompromittierten Domänen mithilfe dieser Technik gesehen haben," sagte die Symantec-Forscher. "Dies deutet darauf hin, dass es vielleicht eine Art Testversion bzw. Test, der in Zukunft erweitert werden kann."

« Back