Предыдущая публикация
DNS для злоумышленника.
Протокол DNS может быть не только целью злоумышленников, но и средством, с помощью которого вредонос, поселившийся в сети жертвы, может связываться с сервером управления. Представим следующую ситуацию. Сотрудник некоторой компании заразил свою рабочую машину, открыв документ, содержащий макросы, запускающие вредоносный код. В результате произошло заражение данного компьютера. Но как вредоносу теперь связаться со своим хозяином, для того чтобы сообщить данные о зараженной машине и получить команды для дальнейших действий? Очевидно, что инициировать соединение может только зараженная машина, так как снаружи сеть отделена межсетевым экраном и инициировать соединение из интернета во внутреннюю сеть не получится. В таком случае вредоносу нужно самому достучаться до сервера управления. И все бы ничего, но если бы у этого сервера было фиксированное доменное имя, то антивирусные компании давно бы его обнаружили и добились бы его блокировки. Поэтому доменное имя данного сервера постоянно меняется. Злоумышленники заранее генерируют и регистрируют большое количество различных бессмысленных доменных имен. Алгоритм генерации этих имен зашивается в код вредоноса, и в процессе своих попыток связаться с сервером он перебирает эти сгенерированные имена. Это называется Domain Generation Algorithm (DGA).
Запрос к узлу с именем, начинающимся с f5…, оказался успешным, и вредонос узнал IP-адрес сервера управления. В результате вредонос может установить соединение с сервером управления. Так что если вы видите в журналах сетевых средств защиты или сервера DNS подобные запросы, то это верный признак того, что в вашей сети поселилось какое-то вредоносное приложение.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii Группа в Телеграм: https://t.me/zashchitainformacii1 Сайт: https://legascom.ru Электронная почта: online@legascom.ru #защитаинформации #информационнаябезопасность
Следующая публикация
Нет комментариев