微信号:gooann-sectv

介绍:发现与传播行业价值,了解机构与企业的安全需求,一家真正懂安全的专业媒体,我们是安全牛!

新“幽灵主机”技术加强僵尸网络生存能力

2017-01-12 11:33 nana

通过改变域名和向HTTP主机字段加入非恶意主机名,恶意软件开发者将Web安全系统玩弄于鼓掌之间。这种新方法可确保恶意软件作者的C&C服务器不被安全系统封禁。




发现该技术的Cyren安全公司将其称为“幽灵主机”,涉及在僵尸网络通信的HTTP主机字段包含进未知主机名。由于这些主机名既有已注册的,也有未注册的,Web安全和URL过滤系统便会被其骗过。


使用该技术的恶意软件家族之一,还为域名www.djapp(.)info提供域名解析,导致多家安全公司将该域名标记为恶意,对该域名的HTTP请求无法通过这些公司保护下的网络。


不过,紧跟IP地址的域名解析,在对新感染僵尸网络发送的C&C指令进行分析时,Cyren研究人员发现了昭示着成功感染新主机的HTTP包。


而且,观察到的目的IP地址是已知不良服务器,而用于请求的HTTP主机字段却是完全不同的域。这些就是所谓“幽灵主机”。在该具体案例中,虚假域为“events.nzlvin.net”和“json.nzlvin.net。


鉴于只有初始解析的域被封禁,幽灵主机名依然存活,所以使用该技术的恶意软件作者能够确保与C&C服务器的通信不受影响。而且,僵尸网络拥有者可以操纵服务器根据收到的“编码”消息(利用不同的幽灵主机名),做出不同的响应。


该 C&C URL 的IP地址通常不被封禁,这主要是因为服务器的内容可能合法和非法的两种都含有。如果整个服务器IP被封,用户就再也不能访问合法服务了。


上述案例中与不良IP关联的幽灵主机还有很多。其中一些是注册过的(与该恶意软件出现的日期一致),更多的则没有注册。


但是,对虚假域名的检测率很低——意味着僵尸网络作者将继续使用“幽灵主机”技术。有效规避检测的技术,傻子恶软作者才会弃用。


幽灵主机是犯罪侵入技术复杂性的又一例证,也极好地证明了:网络犯罪骗术日渐高明的时代,安全厂商通常是保护公司企业的不二选择。


---

在订阅号里,长按公众号,即可“置顶”

 
安全牛 更多文章 亚信安全的发展理念:共驭未来 五种手段抵御社会工程攻击 用威胁情报给2017年做安全趋势预测 网络战争的暴力美学:江海客的七个安全观点 这是网络安全的基石:密码学2016大盘点
猜您喜欢 Java 消亡了?不!原因在这… 为了Adobe程序员,我们拼了 初代 iPhone:那道不清说不尽的故事 分享MYSQL中的各种高可用技术(源自姜承尧大牛) Yep 内测邀请