Na obzoru se objevují nové hrozby, třeste se! – 5. díl

Došlo k vylepšení některých vlastností a přibyly i nové funkce, obzvlášť u trojských koní, šířených mailem.

Kromě stále častěji používané steganografie, decentralizovaných P2P sítí, šifrované komunikace, kontroly podpisu staženého kódu, detekce sandboxu a dynamicky generovaných názvů domén, rychlé změny IP adresy pomocí techniky fast flux DNS, se v poslední době provádí i kontrola, odkud uživatel ke C&C serveru nebo webu s malwarem přistupuje.

Poměrně nové je i to, že každý příjemce mailu, který obsahuje přílohu, dostane zcela jiný škodlivý kód. Robot, který provádí generování příslušných souborů, totiž pro každého příjemce připraví vlastní. Při kompilaci jsou změněny názvy adresářů, souborů, proměnných, registrů a do vlastního kódu jsou pak přidány i další funkce, které slouží jen ke ztížení možnosti debugování a reverzního inženýrství. (Mimochodem, těch obfuskačních funkcí je tam mnohdy více než těch, které něco opravdu dělají. V průměru ale spíše kolem 30%.) Některé varianty jsou dokonce schopny na napadeném stroji zkompilovat novou verzi sebe sama a tu poslat e-mailem na adresu, kterou na daném stroji najdou.

Další novou funkcí je rozdílná reakce na požadavky, které přichází na server, na kterém se nachází škodlivý kód. Útočníci totiž nasadili GeoIP modul, který infekci do stránky vloží jen tehdy, pokud uživatel přistupuje z lokality, na kterou je útok momentálně veden. To stěžuje práci některým společnostem, které se zabývají analýzou malwaru a provádí hodnocení webů, neboť nemají možnost na server, na kterém je malware hostován, přistoupit z té správné IP adresy.

Vylepšení doznalo i generování dynamických názvů domén (Domain Generation Algorithm, zkr. DGA). Především byla odstraněna chyba spočívající v použití jen některých znaků v názvech domén, která umožnila predikovat jejich názvy. Vstupem do funkce generující názvy domén je nadále aktuální datum (rok, měsíc, den) a seed, avšak díky sofistikované transformační funkci doplněné o lingvistický modul, jsou nyní využity všechny znaky abecedy a názvy domén již nejsou tvořeny jen nesmyslnou změtí znaků. Nelze tak odvodit, jaké další domény budou generovány.

Když se podíváme na jednotlivé domény, na kterých je malware hostován, tak zjistíme, že útočníci již tolik nepoužívají šablony a snaží se tyto weby též naplnit různým obsahem. Díky stejné šabloně, použité grafice a identickému obsahu se donedávna daly nově vytvořené falešné weby snadno identifikovat. Registrace a platba za domény a hosting je prováděna za použití zcizených kreditních karet nebo údajů na nich uvedených.

Útočníci nadále registrují a hostují domény a weby u těch poskytovatelů, kteří obecně s ostatními subjekty na trhu moc nespolupracují, anebo mají takové podmínky, které útočníkům vyhovují. Jako doména prvního řádu (Top Level Domain, zkr. TLD) je pak nejčastěji použita doména RU nebo COM, ale výjimkou nejsou ani domény BIZ nebo ORG.

Od posledně se změnil i přístup těchto registrátorů a poskytovatelů hostingu, kteří jsou naoko vstřícnější. V okamžiku, kdy je kontaktujete a požádáte je o zablokování, tak vám odpoví, že vlastníka domény kontaktovali s tím, aby provedl nápravu, a upozornili ho, že pokud tak do několika dnů neučiní, tak že přistoupí k určitým opatřením.

Za této situace již není možné prohlásit, že by nějaký poskytovatel hostingu nespolupracoval. Poskytovatelé hostingu argumentují tím, že požadavek na shození serveru může vznést prakticky kdokoliv a pokud by takovému požadavku neprodleně vyhověli, mohlo by to být zneužito i v rámci konkurenčního boje. Další problém je, že často je malware umístěn na weby, které se útočníkovi podařilo kompromitovat a skutečný provozovatel o tom nemá tušení. Shozením serveru bez nějaké další investigace by mohlo dojít i k porušení SLA.

Problém je v tom, že jestli nějakou doménu po několika dnech skutečně zablokují, tak už je to jedno, protože maily jsou zpravidla rozeslány během několika dnů a během těchto dnů dojde i k nakažení. Blokování domén po několika dnech od počátku útoku ztrácí smysl, stejně jako kontaktování poskytovatele hostingu, protože útočník je schopen velice rychle změnit DNS záznam a přesměrovat dotaz na libovolný server. Jedná se o tzv. techniku fast flux DNS, kdy se záznamy v DNS mění i po několika minutách, takže je mnohdy problematické zjistit, kde se server hostující malware nacházel.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , ,


K článku “Na obzoru se objevují nové hrozby, třeste se! – 5. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: