The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.06.2016 11:01  DNS как канал передачи данных от вредоносного ПО

Исследователи безопасности из компании Cisco обратили внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций определения имён в DNS для специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях и номерах кредитных карт или информировать о поражении новой системы выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com", в которых при помощи формата base32 в имени поддомена закодированы передаваемые на управляющий сервер данные.

Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различные межсетевые экраны, вовлекая местные DNS-резолверы в распространение запросов. Администраторам локальных сетей рекомендуется посмотреть лог на подконтрольных DNS-серверах - наличие в логе попыток резолвинга подозрительных длинных имён (231- 233 символов в имени поддомена) может стать индикатором наличия поражённых вредоносным ПО систем в локальной сети.

  1. Главная ссылка к новости (http://blog.talosintel.com/201...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dns, mallware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, hoopoe, 11:17, 30/06/2016 [ответить] [смотреть все]
  • +12 +/
    эх, такую бы энергию да в мирных целях... :)
     
     
  • 2.5, SysA, 11:53, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +6 +/
    > эх, такую бы энергию да в мирных целях... :)

    А что есть "мирные цели"?.. ;)

    Тут ведь тоже как бы ничего "военного" - просто бизнес. каждый пытается заработать как может в пределах своей личной этики, к тому же стараясь получить удовольствие от процесса...

    А навредить при желании можно и детскими игрушками, я уж не говорю о товарах из хозяйственного магазина...

     
     
  • 3.24, cordatus, 19:43, 30/06/2016 [^] [ответить] [смотреть все]
  • +/
    А вот и пример злодея, который пытается убедить в первую очередь самого себя, в ... весь текст скрыт [показать]
     
     
  • 4.26, Sw00p aka Jerom, 22:07, 30/06/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    лучший способ, что-либо создать и не навредить - ничего не создавать)
     
  • 4.50, Аноним, 11:13, 04/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    По сравнению с российскими законодателями, даже самый наглый кардер - просто пац... весь текст скрыт [показать]
     
  • 3.42, Аноним, 23:52, 01/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Обычное мирное воровство паролей и крякинг Хоре распространять свою нравственну... весь текст скрыт [показать]
     
  • 2.18, ivn86, 15:17, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    В мирных целях это называется ip-over-dns: http://code.kryo.se/iodine/
     
     
  • 3.51, Аноним, 21:28, 04/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Спасибо, товарищ!
     
  • 1.2, Аноним, 11:34, 30/06/2016 [ответить] [смотреть все]  
  • –1 +/
    В некотором роде подобные случаи, заставляют пересматривать технологии и соверше... весь текст скрыт [показать]
     
  • 1.3, Аноним, 11:42, 30/06/2016 [ответить] [смотреть все]  
  • –2 +/
    О, скоро dns начнет и кофе ванить.
     
  • 1.4, Аноним, 11:42, 30/06/2016 [ответить] [смотреть все]  
  • +13 +/
    клоун: Админам предлагается подзаработать, посмотрев в логах DNS номера и PINы чужих кредитных карт.
     
     
  • 2.13, cmp, 13:04, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Палево, а вот продавать телефоны абонов конторам, которые чинят компы - вариант,... весь текст скрыт [показать] [показать ветку]
     
  • 2.23, кверти, 19:16, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я понял теперь твою фишку - тебе лень логиниться, подписываешься прямо в сообщен... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Аноним, 00:31, 01/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Просто я уникальный Сообщения из под Ника клоун удаляются сразу после добавле... весь текст скрыт [показать]
     
  • 3.34, Какаянахренразница, 06:19, 01/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    На третий день индеец Зоркий Глаз заметил Бедный грустный клоун уже который мес... весь текст скрыт [показать]
     
  • 2.29, НяшМяш, 22:50, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Глазам своим не верю. Клоун смешно пошутил.
     
     
  • 3.35, Какаянахренразница, 06:20, 01/07/2016 [^] [ответить] [смотреть все]  
  • +/
    С иронией у него проблем нет Просто он какой-то не добрый ... весь текст скрыт [показать]
     
  • 1.6, Аноним, 11:54, 30/06/2016 [ответить] [смотреть все]  
  • +2 +/
    Зовите мишу, тут офигенная идея для бизнеса
     
     
  • 2.37, славян, 07:05, 01/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    и вы только сейчас заметили что трафик DNS можно использовать как канал передачи... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Аноним, 12:05, 30/06/2016 [ответить] [смотреть все]  
  • +/
    Сформировал оч длинный днс запрос Надеюсь админ прочитает эту статью, пойдет см... весь текст скрыт [показать]
     
     
  • 2.9, Аноним, 12:31, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Уже был подобны способ спамить - в реферрере спамер передает урл своего сайта, в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Аноним, 23:56, 01/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Админ зайдет, и запустится зловред с правами админа Многоходовка ... весь текст скрыт [показать]
     
  • 2.15, Онаним, 13:18, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Ах вот ты где. Зайди ко мне в кабинет, я расскажу как тебя зачал.
     
  • 2.21, _, 17:33, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Вазелина 5 литровую банку припаси, дeб-ил Ибо если админ логает DNS запросы ... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Аноним, 23:45, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ты сам-то кто, с такими глубокими познаниями админов, погромист или юзверь?
     
  • 1.8, Аноним, 12:28, 30/06/2016 [ответить] [смотреть все]  
  • +3 +/
    https habrahabr ru post 65322 https www opennet ru tips 2922_dns_file shtml... весь текст скрыт [показать]
     
     
  • 2.33, lor_anon, 02:06, 01/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да, новизна в новости отсутствует Давно реализован IP поверх DNS И тут ВНЕЗАПН... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Аноним, 12:51, 30/06/2016 [ответить] [смотреть все]  
  • +/
    А шифровать религия не позволяет?
     
     
  • 2.14, ., 13:11, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ну так новый же способ, открытый брита подозреваю, рассейским ученым, только... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Нанобот, 16:45, 30/06/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    может это был ддос на ns-сервера?
     
     
  • 4.31, Аноним, 23:50, 30/06/2016 [^] [ответить] [смотреть все]  
  • +/
    Ты что, у такого бравого иксперта, который борется туннелированием с валидными d... весь текст скрыт [показать]
     
  • 4.40, ., 12:47, 01/07/2016 [^] [ответить] [смотреть все]  
  • +/
    ddos это ровно наоборот - мильен запросов напрямую к не нужному серверу А не пр... весь текст скрыт [показать]
     
  • 3.44, t28, 09:13, 02/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Хы-хы-хы nstx юзал на курсах в аудитории с запароленным инетом гoду, где-то, в ... весь текст скрыт [показать]
     
  • 2.27, Sw00p aka Jerom, 22:11, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > А шифровать религия не позволяет?

    хотя бы тупо ксорить (онтаймпад эдакий)

     
  • 1.16, Аноним, 14:19, 30/06/2016 [ответить] [смотреть все]  
  • +8 +/
    Исследователи безопасности из компании Cisco узнали про dns-туннели, ну афигеть теперь.
     
  • 1.17, modos189, 15:15, 30/06/2016 [ответить] [смотреть все]  
  • –2 +/
    В "Младшем брате" читал про передачу видео через DNS
     
  • 1.19, fi, 15:25, 30/06/2016 [ответить] [смотреть все]  
  • +/
    Надо же, только сейчас заметили DNS -  он всегда был удобным инструментом для обхода защиты.

    зы но лучше его использовать по прямому назначению - для управления троянами :)))

     
  • 1.22, casm, 17:47, 30/06/2016 [ответить] [смотреть все]  
  • +2 +/
    > Администраторам локальных сетей рекомендуется посмотреть лог

    Ещё следует учесть, что chrome при запуске делает несколько dns запросов на домены вида xqwvykjfei, aghepodlln, jdfhjnmlcx и т.п.
    Это видите ли для того, чтобы "быстро определить, находится ли клиент в сети, которая перехватывает и перенаправляет запросы к несуществующим хостам"
    https://mikewest.org/2012/02/chrome-connects-to-three-random-domains-at-startu
    Когда первый раз увидели у себя, долго думали, что за фигня.

     
  • 1.25, Аноним, 21:05, 30/06/2016 [ответить] [смотреть все]  
  • +2 +/
    Об этой фиче DNS известно уже как минимум 15 лет Вот это я понимаю НОВЫЙ способ... весь текст скрыт [показать]
     
     
  • 2.28, Sw00p aka Jerom, 22:16, 30/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    через твиттер тож могут пс там где под контроллем исходящие соединения и нуже... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Аноним, 06:51, 01/07/2016 [ответить] [смотреть все]  
  • –1 +/
    А ещё можно отправлять данные кредиток азбукой Морзе
     
  • 1.38, fdsa, 10:21, 01/07/2016 [ответить] [смотреть все]  
  • +1 +/
    >> Исследователи безопасности из компании Cisco обратили внимание на новый способ

    этому способу больше чем лет

     
     
  • 2.39, Andrey Mitrofanov, 12:03, 01/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Andrey Mitrofanov, 15:32, 01/07/2016 [^] [ответить] [смотреть все]  
  • +/
    >>>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
    >> этому способу больше чем лет
    > На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!

    Мммм...
        http://www.ixbt.com/news/2016/06/29/cisco-priobretaet-razrabotchikov-oblachny
    Исследователи отрабатывают пиар нового хозяина.

     
  • 1.45, Аноним, 13:48, 02/07/2016 [ответить] [смотреть все]  
  • +/
    Не знаю, лет 7 назад уже наблюдал канал DNS для рассылки спама, метод давно испо... весь текст скрыт [показать]
     
  • 1.46, nc, 15:24, 02/07/2016 [ответить] [смотреть все]  
  • –1 +/
    Говорят, в старые добрые времена DNS в некоторых случаях использовался для халявного доступа в интернет:) А тут хакеры вспомнили, молодцы.
     
  • 1.47, alexpn, 16:04, 02/07/2016 [ответить] [смотреть все]  
  • –1 +/
    Отстал от темы
    но может сайт dojfgj.com в днс на 127.0.0.1 посадить ?
    как думаете спасет ситуацию ?
     
     
  • 2.52, Aleks Revo, 22:36, 04/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нет, потому что домен в разных случаях будет разный, а это просто пример, можно было и example.com написать.
     
  • 1.48, абвгдейка, 20:03, 02/07/2016 [ответить] [смотреть все]  
  • +1 +/
    с периодичностью раз в 10 лет появляются подобные идеи только на моей памяти и на Опеннете:)
     
     
  • 2.49, Аноним, 20:51, 02/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    да не, идея на самом деле древняя и используется не только крииналитетом но и с... весь текст скрыт [показать] [показать ветку]
     
  • 1.53, Нониус, 13:37, 05/07/2016 [ответить] [смотреть все]  
  • +/
    Это что? Очевидные, давно используемые как передовые? Да ТЮ.
     
  • 1.54, Нониус, 13:40, 05/07/2016 [ответить] [смотреть все]  
  • +/
    вы ещё snmp, грей днс тот же что и этот,  или замену заголовков IP приплюсуйте. Ну баян же сколько лет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor