导语:瑞士政府计算机应急响应中心( GovCERT )成功分析出了僵尸网络 Tofsee 用于通信的 C&C 服务器的域名生成算法,并封锁了约 520 个瑞士域名,大大削弱了僵尸网络 Tofsee 的能力。

瑞士政府计算机应急响应中心( GovCERT )成功分析出了僵尸网络 Tofsee 用于通信的 C&C 服务器的域名生成算法,并封锁了约 520 个瑞士域名,大大削弱了僵尸网络 Tofsee 的能力。

GovCERT.ch获取了一份僵尸网络 Tofsee 的恶意软件样本。在其每天分析的数百份样本中,这份格外的突出,因为在这份样本中,约一半以上的站点使用瑞士顶级域名,剩下的一半使用的是 .biz 商业专用域名。由于这些域名看起来都是算法生成的,所以GovCERT开始着手分析这一恶意软件以及域名生成算法(DGA)。

算法的详细分析发布在昨天的一份博文中,有兴趣者前往查阅。经研究分析最终破解了域名生成算法的运算模式,并推算出接下来 12 个月中可能会使用到的 520 多个瑞士顶级域名。

 requests_wireshark-600x265.png

【恶意软件 Tofsee DNS 查询查询截图】

GovCERT 根据算法得出了一个域名黑名单,并通知瑞士域名注册中心(SWITCH)将黑名单列表域名暂时封掉。SWITCH解释称,本周,瑞士政府计算机应急响应中心( GovCERT )告诉了我们恶意软件Tofsee在其域名生成算法(DGA)中使用.ch作为其中一个顶级域名一事。随后,我们与GovCERT和RoLR一起封锁了约 520 个瑞士域名, 僵尸网络在将来的一年内都无法使用这些域名发送命令。但僵尸网络还可以使用 .biz 域名进行通信,还无法彻底阻断僵尸网络间的通信联系。

Tofsee使用域名生成算法(DGAs)的“好处”?

谈及僵尸网络Tofsee使用域名生成算法(DGAs)的“好处”时,PandaLabs公司首席技术官Luis Corrons表示,安装在众多受害者电脑中的僵尸网络将用于发送垃圾邮件和/或恶意软件,以及从特定地点下载的内容等。这些地址通过硬编码的方式编入僵尸网络中,很容易被检测出。使用了域名生成算法之后,受影响设备只需根据算法得出下一次进行通信的域名地址,并在特定的时间访问由僵尸网络作者临时注册使用的域名接受信息即可,这大大减少了被发现的可能性。

例如,他们知道上午10点所有的僵尸网络将连接到xxxxxx.ch,所以他们只需要在10点之前注册域名即可,并将他们所需的所有恶意内容分配给僵尸网络。安全公司将在10点看到所有的僵尸网络连接到了xxxxxx.ch,他们会将其添加到黑名单中,并试图关闭这些域名。但是为时已晚,因为所有的僵尸网络已经连接并下载完成了恶意内容。

F-Secure安全顾问Sean Sullivan表示,没有破解这种域名生成算法,恶意软件猎人可能需要做很多的爬虫工作。如今成功破解了僵尸网络域名生成算法,他们就可以积极主动的分析并推算出未来僵尸网络可能会使用到的顶级域名,并将其加入黑名单,大大提升网络安全的防御效率。

虽然,GovCERT 的这次行动不会对垃圾邮件和恶意软件的扩散产生很大的影响,但是,通过关闭大批顶级域名也会很大程度上限制Tofsee僵尸网络的活动能力。总体来说,这是一个国家 CERT 中心正确使用其职能的表现,有助于瑞士整治网络环境、减少恶意软件的来源。此外,这次活动也是安全捍卫者和恶意攻击者之间猫鼠大战的真实写照。

源链接

Hacking more

...