Web Attackers Borrow Domain Generation Tricks From Botnet-type Malware

2024

DNS Based Botnet C&C

وقد بدأت المتسللين اعتماد تقنيات توليد المجال التي تستخدم عادة من قبل البرمجيات الخبيثة من نوع الروبوتات من أجل إطالة عمر الهجمات على شبكة الإنترنت ، وفقا لباحثين أمن من مكافحة الفيروسات شركة سيمانتيك

لقد لوحظت مؤخراً تقنيات توليد النطاقات هذه في سلسلة من هجمات التنزيل من خلال محرك الأقراص الذي استخدم أدوات استغلال الثقب الأسود لإصابة مستخدمي الإنترنت بالبرامج الضارة عند زيارتهم لمواقع الويب المخترقة ، على حد قول نيك جونستون الباحث في أمن سيمانتيك في مدونة نشر يوم الثلاثاء.

هجمات التنزيل من Drive تعتمد على رمز مدمر تم إدخاله في مواقع الويب المخترقة بغرض إعادة توجيه زائريها بصمت إلى نطاقات خارجية تستضيف مجموعات أدوات استغلال مثل Black Ho جنيه. ويتم ذلك عادة من خلال علامات HTML المضمنة في iframe.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

هذه الأدوات ثم تحقق مما إذا كانت متصفحات الزائرين تحتوي على مكونات إضافية ضعيفة وإذا تم العثور عليها ، تحميل عمليات الاستغلال المقابلة لتثبيت برامج ضارة.

هجمات الويب عادة ما تكون لها فترة حياة قصيرة لأن الباحثين الأمنيين يعملون مع مقدمي الاستضافة ومسجلي النطاق لإغلاق مواقع الهجوم وتعليق أسماء النطاقات المسيئة.

بسبب جهود الإزالة المماثلة التي تستهدف الروبوتات خوادم الأوامر والتحكم (C & C) ، قام بعض منشئي البرمجيات الخبيثة بتطبيق طرق النسخ الاحتياطي التي تسمح لهم باستعادة السيطرة على أجهزة الكمبيوتر المصابة.

إحدى هذه الطرق تتضمن البرامج الضارة التي تتصل بأسماء نطاقات جديدة يتم إنشاؤها يوميًا وفقًا لخوارزمية خاصة في حالة يتعذر الوصول إلى خوادم C & C الأساسية.

يسمح ذلك للمهاجمين بمعرفة أسماء النطاقات التي ستحاول شبكات الروبوت الخاصة بهم الاتصال بها في تاريخ معين ، حتى يتمكنوا من تسجيلها في adva nce واستخدامها لإصدار التحديثات.

تم استخدام تقنية مشابهة في هجمات الثقب الأسود الأخيرة. تم تغيير أسماء النطاقات في عناوين URL التي تم تحميلها بواسطة iframes المخفية على أساس يومي وتم إنشاؤها بواسطة خوارزمية تعتمد على التاريخ.

سجل المهاجمون جميع النطاقات التي ستنتجها هذه الخوارزمية حتى 7 أغسطس لضمان هجوماتهم سوف يعمل حتى ذلك التاريخ دون الحاجة إلى أي تغييرات على الكود المدرج في مواقع الويب المخترقة.

"لقد شاهدنا حتى الآن تدفقًا صغيرًا لكن ثابتًا من النطاقات المخترقة باستخدام هذه التقنية" ، كما قال باحثون من سيمانتك. "هذا يشير إلى أن هذا ربما نوع من التجارب أو الاختبارات التي يمكن توسيعها في المستقبل."