افزایش قدرت بات‌نت‌ها با استفاده از تکنیک Ghost Host

0
130
تکنیک Ghost Host

ارائه ‌دهندگان بدافزارها (Malware) با تغییر نام دامین‌ها و وارد نمودن Host Nameهای غیر مخرب در فیلد HTTP Host، از سیستم‌های امنیتی تحت وب عبور می‌کنند.

طبق هشدار محققان شرکت Cyren، فعالان حوزه‌ی بدافزار به روش جدیدی دست پیدا کرده‌اند که تضمین می‌کند سرورهای Command and Control یا به اختصار C&C، از طریق سیستم‌های امنیتی Block نمی‌شوند.

این تکنیک جدید با نام Ghost Host شناخته می‌شود که شامل وارد نمودن Host Nameهای ناشناخته‌ای در فیلد‌های HTTP Host مربوط به بات‌نت‌ها می‌باشد. شرکتCyren اخیرا گزارش نمود: با استفاده از اسامی ثبت شده و ثبت نشده که این تکنیک از آن‌ها استفاده می‌نماید، سیستم‌های امنیتی تحت وب و فیلترینگ URL فریب می‌خورند.

برخی شرکت‌های امنیتی دریافتند که یکی از مجموعه‌ بدافزارهای استفاده کننده از این تکنیک، به اجرای Resolution DNS برای دامین www.djapp.info می‌پردازد که بعد از تشخیص مخرب بودن آن توسط این شرکت‌ها موجب Block شدن این دامین شده است؛ بنابراین درخواست‌های HTTP استفاده کننده از این دامین در شبکه‌های تحت حفاظت Vendorهای امنیتی آگاه از این موضوع مسدود می‌شود.

بعد از انجام DNS Resolution برای IP آدرس، محققان در حین آنالیز تراکنشِ C&C ارسال شده توسط بات‌های آلوده جدید متوجه این مورد شدند که تراکنش‌های HTTP سرور‌های C&C را از آلودگی موفقیت‌آمیز یک دستگاه جدید نیز مطلع می‌نمایند.

به علاوه، محققان امنیتی دریافتند که IP سرور‌ مقصد به عنوان یک سرور آلوده شناخته می‌شود و این در حالی است که فیلدهای HTTP Host مورد استفاده در درخواست‌ها از دامین‌های کاملا متفاوتی استفاده کرده‌اند. شرکت Cyren این دامنه‌ها را با نام Ghost Host معرفی می‌نماید که در این مورد خاص دامین‌های جعلی شامل دو دامین با نام‌های Events.nzlvin.net و Json.nzlvin.net بوده است.

با استفاده از این تکنیک، فعالان حوزه‌ی بدافزار اطمینان می‌یابند که ارتباط با سرور C&C همچنان برقرار می‌باشد و تنها درخواست‌های استفاده کننده از دامین‌ تعیین شده‌ی اصلی Block می‌شود، در حالی که درخواست‌هایی که از Ghost Hostname‌ها استفاده می‌نمایند به فعالیت خود ادامه می‌دهند. علاوه بر این، مالکان بات‌نت‌ها قادر به دستکاری سرورها می‌باشند تا با استفاده از Hostnameهای مختلف در هنگام دریافت پیام‌های کد شده به گونه‌ای متفاوت پاسخ دهند. یکی از پاسخ‌های احتمالی می‌تواند هدایت نمودن بات، برای دانلود نوع خاصی از بدافزار باشد.

محققان امنیتی عنوان می‌کنند که IP آدرس مربوط به C&C URL معمولا Block نمی‌شود، به دلیل اینکه این سرور می‌تواند شامل هر دو نوع محتوای مجاز و مخرب ‌باشد. در صورتی که IP سرور به طور کامل مسدود شود کاربران به سرویس‌های مجاز این سرور نیز دسترسی نمی‌یابند.

شرکت‌های امنیتی پس از شناسایی دو دامین جعلی تصمیم گرفتند تا IP های مشکوک را مورد بررسی دقیق قرار داده و به سرعت فهرستی طولانی از Ghost Hostهای مرتبط با آن‌ها را شناسایی نمایند. لازم به ذکر است که برخی از دامین‌ها ثبت شده می‌باشند و همزمان با به وجود آمدن بدافزار ایجاد می‌شوند اما بسیاری از آنها ثبت نشده‌اند.

با این وجود نرخ شناسایی مربوط به اسامی دامین‌های جعلی همچنان پایین است؛ بدین معنا که فعالان در حوزه بات‌نت همچنان از تکنیک Ghost Host استفاده می‌نمایند، که این امر مانع شناسایی آنها می‌شود.

موسسه Cyren در پایان گزارش خود بیان نمود: Ghost Host، نمونه‌ی دیگری از نحوه پدید آمدن تکنیک‌های پیچیده فرار از جرم است و همچنین به عنوان یک نمونه عالی از اینکه چرا Vendorهای امنیتی اغلب از بهترین جایگاه برای محافظت سازمان‌ها در مقابل افزایش ایجاد جرایم سایبری برخوردار هستند، می‌باشد.

بدون دیدگاه

دیدگاهتان را بنویسید

*