RSA: Вирусописатели совершенствуют алгоритмы генерации доменных имен для маскировки ботнетов

17:00 29.02.2012 |   1124



Авторы троянских программ все шире используют алгоритмы создания доменных имен (Domain Generation Algorithm, DGA) во избежание распознавания и закрытия ботнетов. Владельцы ботнета регистрируют несколько имен, сгенерированных таким алгоритмом, для управляющих серверов. Зараженные компьютеры, в свою очередь, генерируют списки из тысяч имен и пытаются по очереди к ним подключаться, пока не найдут действующее. Установив соединение, троян получает от сервера обновления и команды. Доменные имена генерируются по псевдослучайному принципу, зависящему, например, от текущей даты, благодаря чему все боты одновременно формируют один и тот же перечень имен. При этом реальный адрес управляющего сервера периодически меняется, что дополнительно затрудняет его обнаружение.

Подобный алгоритм использовался, например, печально знаменитым червем Conficker в 2009 году. С тех пор DGA значительно усовершенствовались, утверждают специалисты компании Damballa, выступившие с докладом на конференции RSA. Новые варианты DGA помогают троянам обманывать системы безопасности, полагающиеся на рейтинги репутации доменных имен, черные списки и сигнатуры.


Теги: Информационная безопасность