جلوگیری از تشخیص بات‌نت با روش «میزبان شبح»

محققان امنیتی Cyren هشدار دادند نویسندگان بدافزار روش جدیدی را کشف کردند که از مسدود بودن کارگزارهای دستور و کنترل توسط سامانه‌های امنیتی جلوگیری می‌کند.
این روش که «میزبان شبح۱» نامیده می‌شود، در ارتباطات بات‌نت‌ها و در بخش نام میزبان HTTP از نام‌های میزبان ناشناخته استفاده می‌کند. با استفاده از نام‌های میزبان که ثبت‌نام شده و ثبت‌نام نشده هستند، سامانه‌های امنیت وب و پالایش URL فریب خواهند خورد.

محققان امنیتی می‌گویند یکی از خانواده‌های بدافزاری از این روش استفاده کرده و تحلیل DNS را برای دامنه‌ی www.djapp(.)info انجام می‌دهد. این موضوع باعث شده تا این دامنه توسط چندین محصول امنیتی مسدود شود. بنابراین درخواست‌های HTTP به این دامنه توسط محصولات امنیتی مسدود خواهد شد.

با این‌حال پس از تحلیل درخواست DNS و تحویل آدرس IP، با تحلیل و بررسی ارتباطات کارگزار دستور و کنترل و بات تازه آلوده شده، محققان کشف کردند که بات مورد نظر، آلودگی ِ موفقیت‌آمیز ماشین جدید را به کارگزار دستور و کنترل اطلاع می‌دهد.
موضوع مهمی که وجود داشت این است که محققان امنیتی متوجه شدند که آدرس IP مقصد متعلق به یکی از کارگزارهای بدنام است ولی بخش نام میزبان در درخواست HTTP متعلق به دامنه‌های متفاوتی است. این شرکت امنیتی از این دامنه‌ها با نام «میزبان شبح» یاد می‌کند. در این نمونه‌ی خاص که مورد بررسی قرار گرفته بود، دامنه‌های شبح، دامنه‌های events.nzlvin.net و json.nzlvin.net بود.

با استفاده از این روش، نویسندگان بدافزار مطمئن هستند که ارتباطات بات‌ها با کارگزار دستور و کنترل برقرار خواهد شد حتی اگر آدرس IP مقصد مسدود شده باشد چرا که آدرس‌های میزبان اشکالی ندارند و مسدودشده نیستند. وقتی کارگزار دستور و کنترل، درخواستی حاوی «میزبان شبح» دریافت می‌کند می‌تواند پاسخ‌های مختلفی را برگرداند به‌عنوان مثال به بات‌ها دستور دهد تا بدافزار مشخصی را بارگیری کنند.
محققان امنیتی توضیح دادند که معمولاً آدرس IP کارگزار دستور و کنترل مسدود نشده است چرا که حاوی محتوای قانونی به همراه محتوای مخرب است. اگر در حالت کلی آدرس IP یک کارگزار مسدود شده باشد، کاربران نمی‌توانند به سرویس‌های قانونی نیز دسترسی داشته باشند.

پس از کشف این دو نام میزبان جعلی، این شرکت امنیتی تصمیم گرفت کارگزارهای بدنام را بیشتر از قبل تحت نظر قرار دهد و بعد از مدت زمان کوتاهی، فهرستی بلند بالا از میزبان‌های شبح را کشف کرد. بعضی از این نام دامنه‌ها ثبت شده بودند ولی تعداد زیادی از آن‌ها ثبت‌نشده بودند.
با این‌حال نرخ شناسایی دامنه‌های جعلی بسیار پایین است. به عبارت دیگر نویسندگان بدافزار از روش «میزبان شبح» استفاده کرده و از شناسایی شدن فرار می‌کنند. این شرکت امنیتی در نتیجه‌گیری خود اعلام کرد میزبان‌های شبح نمونه‌ی جدیدی از روش‌های دور زدن شناسایی هستند.

۱. Ghost Host

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap