Conform cercetatorilor Symantec, hackerii au inceput sa adopte tehnici de generare domenii, in mod normal utilizate de botnet-uri, in scopul de a prelungi durata de viata a atacurilor web .
Astfel de tehnici de generare domenii au fost observat recent intr-o serie de atacuri drive-by download care au utilizat setul de instrumente Black Hole pentru a infecta utilizatorii cu malware atunci cand viziteaza site-uri compromise, a spus marti cercetatorul de securitate Symantec, Nick Johnston, intr-un post pe blog.
Atacurile drive-by download se bazeaza pe cod malware injectat in site-uri compromise pentru a redirectiona in tacere vizitatorii catre domenii externe care gazuiesc seturi de instrumente pentru exploatarea vulnerabilitatilor, cum ar fi Black Hole. Acest lucru se face de obicei prin intermediul tagurilor ascunse iframe HTML.
Aceste instrumente verifica daca browserele vizitatorilor contin plugin-uri vulnerabile, si daca acestea sunt gasite, se folosesc instrumentele corespunzatoare pentru a exploata acele vulnerabilitati.
Atacurile web au de obicei o durata de viata scurta, deoarece cercetatorii de securitate lucreaza cot la cot cu furnizori de hosting si registrarii de domenii pentru a inchide site-urile malware si pentru a suspenda domeniile abuzive.
Datorita eforturilor similare de eliminare a serverelor de comanda si control (C&C) a botnet-urilor, unii creatori de malware au pus in aplicare metode de backup care sa le permita sa recapete controlul asupra calculatoarelor infectate. Una dintre aceste metode presupune ca malware-ul sa contacteze noi nume de domenii generate zilnic, conform unui algoritm special, in cazul in care serverele primare C&C devenit inaccesibile.
Acest lucru permite atacatorilor sa stie ce nume de domenii va incerca sa contacteze botnet-ul lor la o anumita data, astfel incat sa le poata inregistra in prealabil si sa le utilizeze pentru a emite updateuri.
O tehnica similara a fost folosita si in recentele atacuri Black Hole. Numele de domenii din URL-urile incarcate de iframe-ul ascuns se schimbau zilnic si erau generate de un algoritm special.
Atacatorii au inregistrat toate domeniile pe care acest algoritm le va genera pana pe 7 august in scopul de a se asigura ca atacurile lor vor functiona pana la acea data, fara a necesita modificari la codul inserat in site-uri compromise.
Astfel de tehnici de generare domenii au fost observat recent intr-o serie de atacuri drive-by download care au utilizat setul de instrumente Black Hole pentru a infecta utilizatorii cu malware atunci cand viziteaza site-uri compromise, a spus marti cercetatorul de securitate Symantec, Nick Johnston, intr-un post pe blog.
Atacurile drive-by download se bazeaza pe cod malware injectat in site-uri compromise pentru a redirectiona in tacere vizitatorii catre domenii externe care gazuiesc seturi de instrumente pentru exploatarea vulnerabilitatilor, cum ar fi Black Hole. Acest lucru se face de obicei prin intermediul tagurilor ascunse iframe HTML.
Aceste instrumente verifica daca browserele vizitatorilor contin plugin-uri vulnerabile, si daca acestea sunt gasite, se folosesc instrumentele corespunzatoare pentru a exploata acele vulnerabilitati.
Atacurile web au de obicei o durata de viata scurta, deoarece cercetatorii de securitate lucreaza cot la cot cu furnizori de hosting si registrarii de domenii pentru a inchide site-urile malware si pentru a suspenda domeniile abuzive.
Datorita eforturilor similare de eliminare a serverelor de comanda si control (C&C) a botnet-urilor, unii creatori de malware au pus in aplicare metode de backup care sa le permita sa recapete controlul asupra calculatoarelor infectate. Una dintre aceste metode presupune ca malware-ul sa contacteze noi nume de domenii generate zilnic, conform unui algoritm special, in cazul in care serverele primare C&C devenit inaccesibile.
Acest lucru permite atacatorilor sa stie ce nume de domenii va incerca sa contacteze botnet-ul lor la o anumita data, astfel incat sa le poata inregistra in prealabil si sa le utilizeze pentru a emite updateuri.
O tehnica similara a fost folosita si in recentele atacuri Black Hole. Numele de domenii din URL-urile incarcate de iframe-ul ascuns se schimbau zilnic si erau generate de un algoritm special.
Atacatorii au inregistrat toate domeniile pe care acest algoritm le va genera pana pe 7 august in scopul de a se asigura ca atacurile lor vor functiona pana la acea data, fara a necesita modificari la codul inserat in site-uri compromise.
Niciun comentariu:
Trimiteți un comentariu