通过改变域名和向http主机字段加入非恶意主机名,恶意软件开发者将web安全系统玩弄于鼓掌之间。这种新方法可确保恶意软件作者的c&c服务器不被安全系统封禁。
发现该技术的cyren安全公司将其称为“幽灵主机”,涉及在僵尸网络通信的http主机字段包含进未知主机名。由于这些主机名既有已注册的,也有未注册的,web安全和url过滤系统便会被其骗过。
使用该技术的恶意软件家族之一,还为域名www.djapp(.)info提供域名解析,导致多家安全公司将该域名标记为恶意,对该域名的http请求无法通过这些公司保护下的网络。
不过,紧跟ip地址的域名解析,在对新感染僵尸网络发送的c&c指令进行分析时,cyren研究人员发现了昭示着成功感染新主机的http包。
而且,观察到的目的ip地址是已知不良服务器,而用于请求的http主机字段却是完全不同的域。这些就是所谓“幽灵主机”。在该具体案例中,虚假域为“events.nzlvin.net”和“json.nzlvin.net。
鉴于只有初始解析的域被封禁,幽灵主机名依然存活,所以使用该技术的恶意软件作者能够确保与c&c服务器的通信不受影响。而且,僵尸网络拥有者可以操纵服务器根据收到的“编码”消息(利用不同的幽灵主机名),做出不同的响应。
该 c&c url 的ip地址通常不被封禁,这主要是因为服务器的内容可能合法和非法的两种都含有。如果整个服务器ip被封,用户就再也不能访问合法服务了。
上述案例中与不良ip关联的幽灵主机还有很多。其中一些是注册过的(与该恶意软件出现的日期一致),更多的则没有注册。
但是,对虚假域名的检测率很低——意味着僵尸网络作者将继续使用“幽灵主机”技术。有效规避检测的技术,傻子恶软作者才会弃用。
幽灵主机是犯罪侵入技术复杂性的又一例证,也极好地证明了:网络犯罪骗术日渐高明的时代,安全厂商通常是保护公司企业的不二选择。
本文转自d1net(转载)
![“云管边端”协同的边缘计算安全防护解决方案0 引 言1 5G 及边缘计算2 边缘计算面临的风险3 “云管边端”安全防护技术4 “云管边端”安全防护实践5 结 语[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)