通過改變域名和向http主機字段加入非惡意主機名,惡意軟體開發者将web安全系統玩弄于鼓掌之間。這種新方法可確定惡意軟體作者的c&c伺服器不被安全系統封禁。
發現該技術的cyren安全公司将其稱為“幽靈主機”,涉及在僵屍網絡通信的http主機字段包含進未知主機名。由于這些主機名既有已注冊的,也有未注冊的,web安全和url過濾系統便會被其騙過。
使用該技術的惡意軟體家族之一,還為域名www.djapp(.)info提供域名解析,導緻多家安全公司将該域名标記為惡意,對該域名的http請求無法通過這些公司保護下的網絡。
不過,緊跟ip位址的域名解析,在對新感染僵屍網絡發送的c&c指令進行分析時,cyren研究人員發現了昭示着成功感染新主機的http包。
而且,觀察到的目的ip位址是已知不良伺服器,而用于請求的http主機字段卻是完全不同的域。這些就是所謂“幽靈主機”。在該具體案例中,虛假域為“events.nzlvin.net”和“json.nzlvin.net。
鑒于隻有初始解析的域被封禁,幽靈主機名依然存活,是以使用該技術的惡意軟體作者能夠確定與c&c伺服器的通信不受影響。而且,僵屍網絡擁有者可以操縱伺服器根據收到的“編碼”消息(利用不同的幽靈主機名),做出不同的響應。
該 c&c url 的ip位址通常不被封禁,這主要是因為伺服器的内容可能合法和非法的兩種都含有。如果整個伺服器ip被封,使用者就再也不能通路合法服務了。
上述案例中與不良ip關聯的幽靈主機還有很多。其中一些是注冊過的(與該惡意軟體出現的日期一緻),更多的則沒有注冊。
但是,對虛假域名的檢測率很低——意味着僵屍網絡作者将繼續使用“幽靈主機”技術。有效規避檢測的技術,傻子惡軟作者才會棄用。
幽靈主機是犯罪侵入技術複雜性的又一例證,也極好地證明了:網絡犯罪騙術日漸高明的時代,安全廠商通常是保護公司企業的不二選擇。
本文轉自d1net(轉載)
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)