Matsnu навчився генерувати осмислені імена доменів, Threatpost
Алгоритми генерації домену (Domain Generation Algorithms, DGA) - улюблений інструмент ботмайстрів для підтримки безперебійної роботи зловредів і для ускладнення роботи дослідникам-безпекам і технологіям, що детектують.
Як і зловреди, DGA розвиваються, тим самим ускладнюючи і так складні ігри в кішки-мишки між злочинцями і безопасниками.
Показати пов'язані повідомлення
POS-зловред DMSniff атакує кінотеатри та ресторани
Шкідливі скрипти EITest знешкоджені
Рекламна мережа добуває Monero в обхід блокувальників
«Це виглядає більш достовірно, ніж купа символів, – сказав Рафф. — Якщо людина подивиться на домен, вона виглядатиме нормальною, не згенерованою машиною».
«Це просто додає складності алгоритмів машинного навчання, – сказав Рафф. — Це вимагає додаткових зусиль, щоб розрізняти імена, створені машиною, та імена, створені для законного використання».
За словами Раффа, тепер технології виявлення мають шукати інші ознаки у поведінці зловредів, щоб визначити такі атаки.
«Якщо шкідлива програма постійно використовує схожі слова та намагається зв'язатися з доменами, вам потрібно пошукати кластери доменів, використовуючи ті самі слова, – сказав Рафф. — Вам треба буде подивитися на домени за весь час, а не на конкретний сеанс зв'язку».
Seculert сказав, що в середньому 9000 роботів щодня пов'язуються з перехопленим сервером Matsnu. Спочатку він обмежувався германомовними жертвами і поширювався за допомогою спаму, пов'язаного з інтернет-магазинами. Спам був завантажений бекдором із можливістю завантаження шкідливих плагінів; попередні версії Matsnu поширювали здирників та підроблені антивіруси.
Після зараження комп'ютера жертви він підключається до сервера управління та контролю та відправляє назад масив інформації про систему, включаючи ім'я користувача, версію операційної системи, відомості про процесор та оточення віртуальної машини, а також про мову системи та локальні налаштування. Він підтримує ряд команд від централізованого сервера, включаючи оновлення коду, закачування та запуск корисного навантаження, а також ряд інших команд, що поки що не використовуються. За словами Раффа, він також має функції живучості та шифрує комунікації із сервером управління та контролю.