محققان هشدار دادند نویسندگان بدافزار روش جدیدی را کشف کردند که از مسدودبودن کارگزارهای دستور و کنترل توسط سامانههای امنیتی جلوگیری میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی Cyren روش «میزبان شبح» را شناسایی کردهاند که در ارتباطات باتنتها و در بخش نام میزبان HTTP از نامهای میزبان ناشناخته استفادهمیکند. با استفاده از نامهای میزبان که ثبتنام شده و ثبتنام نشده هستند، سامانههای امنیت وب و پالایش URL فریب خواهندخورد.
محققان امنیتی میگویند یکی از خانوادههای بدافزاری از این روش استفاده کرده و تحلیل DNS را برای دامنهی www.djapp(.)info انجام میدهد. این موضوع باعث شد تا این دامنه توسط چندین محصول امنیتی مسدود شود، بنابراین درخواستهای HTTP به این دامنه توسط محصولات امنیتی مسدود خواهدشد.
با اینحال پس از تحلیل درخواست DNS و تحویل آدرس IP با تحلیل و بررسی ارتباطات کارگزار دستور و کنترل و بات تازه آلوده شده، محققان کشف کردند که بات مورد نظر، آلودگی موفقیتآمیز ماشین جدید را به کارگزار دستور و کنترل اطلاع میدهد.
محققان امنیتی متوجه شدند که آدرس IP مقصد متعلق به یکی از کارگزارهای بدنام است، ولی بخش نام میزبان در درخواست HTTP متعلق به دامنههای متفاوتی است. این شرکت امنیتی از این دامنهها با نام «میزبان شبح» یاد میکند. در این نمونه خاص که مورد بررسی قرار گرفتهبود، دامنههای شبح، دامنههای events.nzlvin.net و json.nzlvin.net بود.
با استفاده از این روش، نویسندگان بدافزار مطمئن هستند که ارتباطات باتها با کارگزار دستور و کنترل برقرار خواهدشد، حتی اگر آدرس IP مقصد مسدود شدهباشد؛ چرا که آدرسهای میزبان اشکالی ندارند و مسدودشده نیستند. وقتی کارگزار دستور و کنترل، درخواستی حاوی «میزبان شبح» دریافت میکند میتواند پاسخهای مختلفی را برگرداند بهعنوان مثال به باتها دستور دهد تا بدافزار مشخصی را بارگیری کنند.
محققان امنیتی توضیح دادند که معمولاً آدرس IP کارگزار دستور و کنترل مسدود نشده است چرا که حاوی محتوای قانونی به همراه محتوای مخرب است. اگر در حالت کلی آدرس IP یک کارگزار مسدود شدهباشد، کاربران نمیتوانند به سرویسهای قانونی نیز دسترسی داشتهباشند.
پس از کشف این دو نام میزبان جعلی، این شرکت امنیتی تصمیم گرفت کارگزارهای بدنام را بیشتر از قبل تحت نظر قرار دهد و بعد از مدتزمان کوتاهی، فهرستی بلندبالا از میزبانهای شبح را کشف کرد. بعضی از این نام دامنهها ثبت شدهبودند ولی تعداد زیادی از آنها ثبت نشدهبودند.
با اینحال نرخ شناسایی دامنههای جعلی بسیار پایین است؛ به عبارت دیگر نویسندگان بدافزار از روش «میزبان شبح» استفاده کرده و از شناسایی شدن فرار میکنند. این شرکت امنیتی در نتیجهگیری خود اعلام کرد میزبانهای شبح، نمونه جدیدی از روشهای دور زدن شناسایی هستند.