The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

30.06.2016 11:01  DNS как канал передачи данных от вредоносного ПО

Исследователи безопасности из компании Cisco обратили внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций определения имён в DNS для специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях и номерах кредитных карт или информировать о поражении новой системы выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com", в которых при помощи формата base32 в имени поддомена закодированы передаваемые на управляющий сервер данные.

Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различные межсетевые экраны, вовлекая местные DNS-резолверы в распространение запросов. Администраторам локальных сетей рекомендуется посмотреть лог на подконтрольных DNS-серверах - наличие в логе попыток резолвинга подозрительных длинных имён (231- 233 символов в имени поддомена) может стать индикатором наличия поражённых вредоносным ПО систем в локальной сети.

  1. Главная ссылка к новости (http://blog.talosintel.com/201...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dns, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, hoopoe (ok), 11:17, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +12 +/
    эх, такую бы энергию да в мирных целях... :)
     
     
  • 2.5, SysA (?), 11:53, 30/06/2016 [^] [ответить]    [к модератору]
  • +6 +/
    > эх, такую бы энергию да в мирных целях... :)

    А что есть "мирные цели"?.. ;)

    Тут ведь тоже как бы ничего "военного" - просто бизнес. каждый пытается заработать как может в пределах своей личной этики, к тому же стараясь получить удовольствие от процесса...

    А навредить при желании можно и детскими игрушками, я уж не говорю о товарах из хозяйственного магазина...

     
     
  • 3.24, cordatus (ok), 19:43, 30/06/2016 [^] [ответить]    [к модератору]
  • +/
    А вот и пример злодея, который пытается убедить в первую очередь самого себя, в своей правоте.
     
     
  • 4.26, Sw00p aka Jerom (?), 22:07, 30/06/2016 [^] [ответить]    [к модератору]
  • +3 +/
    лучший способ, что-либо создать и не навредить - ничего не создавать)
     
  • 4.50, Аноним (-), 11:13, 04/07/2016 [^] [ответить]     [к модератору]
  • +1 +/
    По сравнению с российскими законодателями, даже самый наглый кардер - просто пац... весь текст скрыт [показать]
     
  • 3.42, Аноним (-), 23:52, 01/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Обычное мирное воровство паролей и крякинг. Хоре распространять свою нравственную бесформенность, и так сложно жить.
     
  • 2.18, ivn86 (ok), 15:17, 30/06/2016 [^] [ответить]    [к модератору]  
  • +9 +/
    В мирных целях это называется ip-over-dns: http://code.kryo.se/iodine/
     
     
  • 3.51, Аноним (-), 21:28, 04/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Спасибо, товарищ!
     
  • 1.2, Аноним (-), 11:34, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    В некотором роде подобные случаи, заставляют пересматривать технологии и совершенствовать их
     
  • 1.3, Аноним (-), 11:42, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    О, скоро dns начнет и кофе ванить.
     
  • 1.4, Аноним (-), 11:42, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +13 +/
    клоун: Админам предлагается подзаработать, посмотрев в логах DNS номера и PINы чужих кредитных карт.
     
     
  • 2.13, cmp (ok), 13:04, 30/06/2016 [^] [ответить]     [к модератору]  
  • +/
    Палево, а вот продавать телефоны абонов конторам, которые чинят компы - вариант,... весь текст скрыт [показать]
     
  • 2.23, кверти (ok), 19:16, 30/06/2016 [^] [ответить]    [к модератору]  
  • +/
    >клоун:

    Я понял теперь твою фишку - тебе лень логиниться, подписываешься прямо в сообщении. Оригинально, чо.

     
     
  • 3.32, Аноним (-), 00:31, 01/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Просто я уникальный. Сообщения из под Ника "клоун" удаляются сразу после добавления.
     
  • 3.34, Какаянахренразница (ok), 06:19, 01/07/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    На третий день индеец Зоркий Глаз заметил Бедный грустный клоун уже который мес... весь текст скрыт [показать]
     
  • 2.29, НяшМяш (ok), 22:50, 30/06/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Глазам своим не верю. Клоун смешно пошутил.
     
     
  • 3.35, Какаянахренразница (ok), 06:20, 01/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Глазам своим не верю. Клоун смешно пошутил.

    С иронией у него проблем нет. Просто он какой-то не добрый...

     
  • 1.6, Аноним (-), 11:54, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Зовите мишу, тут офигенная идея для бизнеса
     
     
  • 2.37, славян (?), 07:05, 01/07/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    и вы только сейчас заметили что трафик DNS можно использовать как канал передачи... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 12:05, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Сформировал оч длинный днс запрос. Надеюсь админ прочитает эту статью, пойдет смотреть длинные запросы в надежде поживиться чужими паролями, а в итоге узнает много нового про свою мамку))))))
     
     
  • 2.9, Аноним (-), 12:31, 30/06/2016 [^] [ответить]    [к модератору]  
  • +/
    Уже был подобны способ спамить - в реферрере спамер передает урл своего сайта, в надежде, что админ туда зайдет
     
     
  • 3.43, Аноним (-), 23:56, 01/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Уже был подобны способ спамить - в реферрере спамер передает урл своего
    > сайта, в надежде, что админ туда зайдет

    Админ зайдет, и запустится зловред с правами админа. Многоходовка )

     
  • 2.15, Онаним (?), 13:18, 30/06/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    Ах вот ты где. Зайди ко мне в кабинет, я расскажу как тебя зачал.
     
  • 2.21, _ (??), 17:33, 30/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Вазелина 5 литровую банку припаси, дeб-ил :)
    Ибо если админ логает DNS запросы то там есть время и IP - считай что ты паспорт свой приложил! :-))))  
    ДЪ (С) Наше всиё Лавров С.В.
     
  • 2.30, Аноним (-), 23:45, 30/06/2016 [^] [ответить]    [к модератору]  
  • +/
    Ты сам-то кто, с такими глубокими познаниями админов, погромист или юзверь?
     
  • 1.8, Аноним (-), 12:28, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    https://habrahabr.ru/post/65322/
    https://www.opennet.ru/tips/2922_dns_file.shtml

    Через dns-трафик можно и файлы гонять

     
     
  • 2.33, lor_anon (ok), 02:06, 01/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, новизна в новости отсутствует.

    Давно реализован IP поверх DNS. И тут ВНЕЗАПНО, можно гонять данные и от вредоносных приложений тоже.

     
  • 1.11, Аноним (-), 12:51, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А шифровать религия не позволяет?
     
     
  • 2.14, . (?), 13:11, 30/06/2016 [^] [ответить]     [к модератору]  
  • +/
    ну так новый же способ, открытый брита подозреваю, рассейским ученым, только... весь текст скрыт [показать]
     
     
  • 3.20, Нанобот (ok), 16:45, 30/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    может это был ддос на ns-сервера?
     
     
  • 4.31, Аноним (-), 23:50, 30/06/2016 [^] [ответить]    [к модератору]  
  • +/
    Ты что, у такого бравого иксперта, который борется туннелированием с валидными dns запросами не может быть ддос.
     
  • 4.40, . (?), 12:47, 01/07/2016 [^] [ответить]     [к модератору]  
  • +/
    ddos это ровно наоборот - мильен запросов напрямую к не нужному серверу А не пр... весь текст скрыт [показать]
     
  • 3.44, t28 (?), 09:13, 02/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Остальной мир уже лет десять как использует nstx

    Хы-хы-хы! nstx юзал на курсах в аудитории с запароленным инетом гoду, где-то, в 2003—2004-м...

     
  • 2.27, Sw00p aka Jerom (?), 22:11, 30/06/2016 [^] [ответить]    [к модератору]  
  • +/
    > А шифровать религия не позволяет?

    хотя бы тупо ксорить (онтаймпад эдакий)

     
  • 1.16, Аноним (-), 14:19, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    Исследователи безопасности из компании Cisco узнали про dns-туннели, ну афигеть теперь.
     
  • 1.17, modos189 (ok), 15:15, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    В "Младшем брате" читал про передачу видео через DNS
     
  • 1.19, fi (ok), 15:25, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Надо же, только сейчас заметили DNS -  он всегда был удобным инструментом для обхода защиты.

    зы но лучше его использовать по прямому назначению - для управления троянами :)))

     
  • 1.22, casm (ok), 17:47, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Администраторам локальных сетей рекомендуется посмотреть лог

    Ещё следует учесть, что chrome при запуске делает несколько dns запросов на домены вида xqwvykjfei, aghepodlln, jdfhjnmlcx и т.п.
    Это видите ли для того, чтобы "быстро определить, находится ли клиент в сети, которая перехватывает и перенаправляет запросы к несуществующим хостам"
    https://mikewest.org/2012/02/chrome-connects-to-three-random-domains-at-startu
    Когда первый раз увидели у себя, долго думали, что за фигня.

     
  • 1.25, Аноним (25), 21:05, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Об этой фиче DNS известно уже как минимум 15 лет! Вот это я понимаю НОВЫЙ способ общения зловредов с серверами.
     
     
  • 2.28, Sw00p aka Jerom (?), 22:16, 30/06/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Об этой фиче DNS известно уже как минимум 15 лет! Вот это
    > я понимаю НОВЫЙ способ общения зловредов с серверами.

    через твиттер тож могут )

    пс: там где под контроллем исходящие соединения и нужен в частности днс - обязательно запросы логируются и потом анализируются, ибо зачем ставить под файервол исходящие соединения, секурности ради? значить обязательно должен проводится анализ логов.

     
  • 1.36, Аноним (-), 06:51, 01/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А ещё можно отправлять данные кредиток азбукой Морзе
     
  • 1.38, fdsa (ok), 10:21, 01/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >> Исследователи безопасности из компании Cisco обратили внимание на новый способ

    этому способу больше чем лет

     
     
  • 2.39, Andrey Mitrofanov (?), 12:03, 01/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
    > этому способу больше чем лет

    На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!

     
     
  • 3.41, Andrey Mitrofanov (?), 15:32, 01/07/2016 [^] [ответить]    [к модератору]  
  • +/
    >>>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
    >> этому способу больше чем лет
    > На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!

    Мммм...
        http://www.ixbt.com/news/2016/06/29/cisco-priobretaet-razrabotchikov-oblachny
    Исследователи отрабатывают пиар нового хозяина.

     
  • 1.45, Аноним (-), 13:48, 02/07/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Не знаю, лет 7 назад уже наблюдал канал DNS для рассылки спама, метод давно испо... весь текст скрыт [показать]
     
  • 1.46, nc (ok), 15:24, 02/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Говорят, в старые добрые времена DNS в некоторых случаях использовался для халявного доступа в интернет:) А тут хакеры вспомнили, молодцы.
     
  • 1.47, alexpn (ok), 16:04, 02/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Отстал от темы
    но может сайт dojfgj.com в днс на 127.0.0.1 посадить ?
    как думаете спасет ситуацию ?
     
     
  • 2.52, Aleks Revo (ok), 22:36, 04/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Нет, потому что домен в разных случаях будет разный, а это просто пример, можно было и example.com написать.
     
  • 1.48, абвгдейка (ok), 20:03, 02/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    с периодичностью раз в 10 лет появляются подобные идеи только на моей памяти и на Опеннете:)
     
     
  • 2.49, Аноним (-), 20:51, 02/07/2016 [^] [ответить]    [к модератору]  
  • +/
    да не, идея на самом деле древняя. и используется не только крииналитетом но и службами для экфсильтрации данных.
     
  • 1.53, Нониус (?), 13:37, 05/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это что? Очевидные, давно используемые как передовые? Да ТЮ.
     
  • 1.54, Нониус (?), 13:40, 05/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вы ещё snmp, грей днс тот же что и этот,  или замену заголовков IP приплюсуйте. Ну баян же сколько лет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor