Исследователи нашли способ определять автоматически сгенерированные домены

Николай Головко 06 Ноября 2010 - 06:49

...

Ряд работающих в Сети ботнетов использует автоматически сгенерированные доменные имена серверов управления. Американским специалистам удалось обнаружить способ детектирования подобных имен; по их мнению, он пригодится системным администраторам в качестве системы раннего предупреждения об инфекции.

Ботнеты Conficker, Kraken, Torpig относятся к числу тех, которые применяют метод т.н. 'текучести доменных имен' для защиты своих управляющих элементов от экспертов по безопасности. Вредоносная сеть такого типа генерирует множество случайных доменов в соответствии с некоторым алгоритмом; эти домены используются для связи клиентов с командными центрами ботнета. Если вы хотите прекратить деятельность такой сети, вам потребуется захватить управление всеми этими доменными именами, что довольно сложно.

Однако исследователи уверены, что, поскольку имена наподобие joftvvtvmx.org, ejfjyd.mooo.com или mnkzof.dyndns.org созданы по определенному алгоритму, то их можно успешно определять и отличать от других, легитимных доменов. Если пропускать через такой детектор весь DNS-трафик, идущий наружу из ЛВС предприятия, то можно быстро и эффективно определить наличие инфекции в сети.

"Таким образом, предложенный нами метод может выявлять присутствие ботнет-клиентов; администратор ЛВС будет способен прервать связь между рабочими станциями и контрольными серверами ботнета посредством отфильтровывания DNS-запросов на разрешение алгоритмически сгенерированных доменных имен", - говорится в работе, представленной на конференции ACM Internet Measurement Conference в Австралии.

Указанный метод задействует некоторые приемы из теории обнаружения сигналов и статистического самообучения; с его помощью можно детектировать имена, алгоритмы создания которых основаны на псевдослучайных последовательностях, словарных единицах и ложных словах. Сообщается, что на выборке из 500 доменных имен был достигнут стопроцентный уровень выявления без ложных срабатываний; при объеме выборки в 50 доменов также были успешно обнаружены все автоматически сгенерированные имена, однако количество "ложных тревог" составило 15%.

The Register

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 25 Апреля 2025 - 10:06

Атаки на сайты DDoS-атаки Общее

+110% DDoS-атак в первом квартале 2025 года, 1,33 млн устройств в ботнете

В первом квартале 2025 года число DDoS-атак выросло более чем в два раза по сравнению с тем же периодом 2024-го — плюс 110%. Это продолжение прошлогодней тенденции, когда прирост составил 50%. Иными словами, атак становится всё больше — и это уже устойчивая динамика.

По данным Curator, большинство атак на сетевом уровне (L3–L4) были нацелены на три ключевых сегмента: ИТ и телеком (26,8%), финтех (22,3%) и электронную коммерцию (21,5%). Вместе на них пришлось 70% всех зафиксированных атак на этом уровне.

Интенсивность L3–L4-атак в этом году заметно ниже прошлогодних рекордов: пиковые значения составили 232 Гбит/с и 65 миллионов пакетов в секунду против 1140 Гбит/с и 179 Mpps в 2024-м. Но расслабляться рано — медианные показатели выросли, так что в среднем атаки стали стабильнее и плотнее.

Главное же событие квартала — обнаружение огромного ботнета, в который входило 1,33 миллиона устройств. Для сравнения: самый крупный ботнет прошлого года насчитывал 227 тысяч машин. Новая сеть использовалась для атаки на сайт в микросегменте онлайн-букмекеров, и атака длилась около двух с половиной часов. Больше половины устройств ботнета находились в Бразилии, другие — в Аргентине, России, Ираке и Мексике.

На прикладном уровне (L7) чаще всего атаковали финтех (54% всех атак), электронную коммерцию (14,4%) и ИТ с телекомом (8,1%). Источники атак почти не изменились по сравнению с прошлым годом: Россия, США и Бразилия.

Кроме DDoS, эксперты также анализировали активность вредоносных ботов — тех, что не выводят сайт из строя, а, например, воруют данные, сканируют цены или пытаются взломать аккаунты. В целом их активность была стабильной, но в марте произошёл заметный скачок — плюс 28% по сравнению с февралем.

Чаще всего эти боты нападали на онлайн-ретейл (40,7%) и онлайн-ставки (13%). Это логично: парсинг цен, остатков товаров и коэффициентов ставок — популярная тактика среди конкурентов. Также под удар попали сегменты недвижимости, фармы, логистики и финансов.

Общий вывод — DDoS-атаки становятся масштабнее и разнообразнее, а автоматизированные угрозы затрагивают всё больше отраслей.