close
تبلیغات در اینترنت
بررسی بدافزارهای مرتبط با DNS در شبکه
آخرین مطالب

بررسی بدافزارهای مرتبط با DNS در شبکه

بررسی بدافزارهای مرتبط با DNS در شبکه - تک نوشت

  • بررسی بدافزارهای مرتبط با DNS در شبکه - تک نوشت

    از مدت ها پیش حمله گر های CANCUN ، با بکارگیری حمله های DDOS به صورت آفلاین به DNS ها آسیب رسانده اند. اما طی چند ماه اخیر تولید کنندگان بدافزارها، اقدام به انتقال اطلاعات سرقت شده بوسیله درخواست های DNS نموده اند.

    اخیرا آقای Jaime Blasco از آزمایشگاه امنیت شرکت کسپرسکی نمونه هایی از بذافزارهای واقعی که از این روش برای سرقت اطلاعات استفاده می کنند را معرفی نموده است. وی که قبلا دامین های آلوده را شناسایی نموده است، با استفاده از ابزارهایی نظیر : NSTX، OzymanDNS، Lodin و DNScat به بررسی ترافیک اطلاعات در حال عبور پرداخته است. کاربران می توانند بوسیله اپلیکیشن ها، آپلود فایل و اجرای دستورات shell و powershell ،باعث دانلود سربارهای قابل استفاده در حمله ها شوند.

    Blasco در ادامه برای انجام حمله، مشخصات کانال upstream را که دارای یک FQDN با طول عنوانی تا ۶۳ اکتت و حداکثر طول ۲۵۵ اکتت برای نام دامین آن است، بیان می کند. کانال downstream می تواند انواعی از فایل های مختلف نظیر :TXT رکوزدها ، CNAME رکوزدها، ر NULL کوردها و AAAA رکوردهای لازم را ذخیره نمایند.

    در طی این آزمایش ۵۰ میلیون فایل حاوی ترافیک به صورت تجزیه شده و تعداد بسیار زیادی نمونه بدافزار کشف گردید. این بدافزارها یک URL را در یک فایل TXT ذخیره می کنند و بوسیله آن مشخص می شودکه کدام بدافزار و یا ابزار جاسوسی به کار گرفته شود.

    یکی از بدافزارهای شناسایی شده FeederBot می باشد که از base64 برای انکد کردن استفاده نموده و دارای سربار رمزگذاری شده با RC4 است.

    Blasco بر این باور است که بدافزارجدیدی که اخیرا در دستگاه های POS شناسایی گردیده از DNS استفاده می کند. وی معتقد است که سازندگان بدافزار در حال آزمایش دسترسی به DNS و یا دسترسی به شرکت های استفاده کننده از آن DNS بوده اند. در این میان کرم Morto که چندی است شروع به فعالبت نموده و نیز ابزار دسترسی از راه دور مدیریتی Plugx که ظاهرا از سال ۲۰۰۸ در حال فعالیت بوده آشکار گردیده اند.

    بررسی ها نشان می دهند از آنجایی که معمولا DNS های خارج از محدوده در بین شرکت های دارای همکاری در حال استفاده می باشد، بسیاری از حمله گرها از آن استفاده نموده و برای جلوگیری از تشخیص داده شدن از یک محافظ شبکه ساده مانند MyDLP بهره می گیرند. بسته های ناشناخته در ترافیک DNS، مانند متن های حجیم در TXT و یا NULL رکوردها، وجود اسپایک در جستجوهای DNS و یا جستجوهایی با نام دامین و یا زیر دامین های طولانی نشانه های وجود موارد غیر عادی در DNS می باشد.

مطالب مشابه

ارسال نظر برای این مطلب

نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتیرفرش کد امنیتی