«میزبان شبح» مانع تشخیص بات‌نت می‌شود
کد مطلب: 12206
تاریخ انتشار : شنبه ۱۸ دی ۱۳۹۵ ساعت ۱۷:۰۳
 
محققان هشدار دادند نویسندگان بدافزار روش جدیدی را کشف کردند که از مسدود‌بودن کارگزارهای دستور و کنترل توسط سامانه‌های امنیتی جلوگیری می‌کند.
«میزبان شبح» مانع تشخیص بات‌نت می‌شود
 
 
Share/Save/Bookmark

محققان  هشدار دادند نویسندگان بدافزار روش جدیدی را کشف کردند که از مسدود‌بودن کارگزارهای دستور و کنترل توسط سامانه‌های امنیتی جلوگیری می‌کند. 

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی Cyren روش «میزبان شبح» را شناسایی کرده‌اند که در ارتباطات بات‌نت‌ها و در بخش نام میزبان HTTP از نام‌های میزبان ناشناخته استفاده‌می‌کند. با استفاده از نام‌های میزبان که ثبت‌نام شده و ثبت‌نام نشده هستند، سامانه‌های امنیت وب و پالایش URL فریب خواهند‌خورد.

محققان امنیتی می‌گویند یکی از خانواده‌های بدافزاری از این روش استفاده کرده و تحلیل DNS را برای دامنه‌ی www.djapp(.)info انجام می‌دهد. این موضوع باعث شد تا این دامنه توسط چندین محصول امنیتی مسدود شود، بنابراین درخواست‌های HTTP به این دامنه توسط محصولات امنیتی مسدود خواهد‌شد.

با این‌حال پس از تحلیل درخواست DNS و تحویل آدرس IP با تحلیل و بررسی ارتباطات کارگزار دستور و کنترل و بات تازه آلوده شده، محققان کشف کردند که بات مورد نظر، آلودگی  موفقیت‌آمیز ماشین جدید را به کارگزار دستور و کنترل اطلاع می‌دهد. 

محققان امنیتی متوجه شدند که آدرس IP مقصد متعلق به یکی از کارگزارهای بدنام است، ولی بخش نام میزبان در درخواست HTTP متعلق به دامنه‌های متفاوتی است. این شرکت امنیتی از این دامنه‌ها با نام «میزبان شبح» یاد می‌کند. در این نمونه‌ خاص که مورد بررسی قرار گرفته‌بود، دامنه‌های شبح، دامنه‌های events.nzlvin.net و json.nzlvin.net بود.

با استفاده از این روش، نویسندگان بدافزار مطمئن هستند که ارتباطات بات‌ها با کارگزار دستور و کنترل برقرار خواهد‌شد، حتی اگر آدرس IP مقصد مسدود شده‌باشد؛ چرا که آدرس‌های میزبان اشکالی ندارند و مسدودشده نیستند. وقتی کارگزار دستور و کنترل، درخواستی حاوی «میزبان شبح» دریافت می‌کند می‌تواند پاسخ‌های مختلفی را برگرداند به‌عنوان مثال به بات‌ها دستور دهد تا بدافزار مشخصی را بارگیری کنند. 

محققان امنیتی توضیح دادند که معمولاً آدرس IP کارگزار دستور و کنترل مسدود نشده است چرا که حاوی محتوای قانونی به همراه محتوای مخرب است. اگر در حالت کلی آدرس IP یک کارگزار مسدود شده‌باشد، کاربران نمی‌توانند به سرویس‌های قانونی نیز دسترسی داشته‌باشند.

پس از کشف این دو نام میزبان جعلی، این شرکت امنیتی تصمیم گرفت کارگزارهای بدنام را بیشتر از قبل تحت نظر قرار دهد و بعد از مدت‌زمان کوتاهی، فهرستی بلند‌بالا از میزبان‌های شبح را کشف کرد. بعضی از این نام دامنه‌ها ثبت شده‌بودند ولی تعداد زیادی از آنها ثبت ‌نشده‌بودند. 

با این‌حال نرخ شناسایی دامنه‌های جعلی بسیار پایین است؛ به عبارت دیگر نویسندگان بدافزار از روش «میزبان شبح» استفاده کرده و از شناسایی شدن فرار می‌کنند. این شرکت امنیتی در نتیجه‌گیری خود اعلام کرد میزبان‌های شبح، نمونه‌ جدیدی از روش‌های دور زدن شناسایی هستند.

مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات