forum.opennet.ru

Составление сообщения

Исходное сообщение

"DNS как канал передачи данных от вредоносного ПО"
Отправлено opennews, 30-Июн-16 11:17

Исследователи безопасности из компании Cisco обратили (http://blog.talosintel.com/2016/06/detecting-dns-data-exfilt...) внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций определения имён в DNS для специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях и номерах кредитных карт или информировать о поражении новой системы выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com", в которых при помощи формата base64 в имени поддомена закодированы передаваемые на управляющий сервер данные.

Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различны межсетевые экраны, вовлекая местные DNS-резолверы в распространение запросов. Администраторам локальных сетей рекомендуется посмотреть лог на подконтрольных DNS-серверах - наличие в логе попыток резолвинга подозрительных длинных имён может стать индикатором наличия поражённых вредоносным ПО систем в локальной сети.
URL: http://blog.talosintel.com/2016/06/detecting-dns-data-exfilt...
Новость: http://www.opennet.me/opennews/art.shtml?num=44701

Исходное сообщение
"DNS как канал передачи данных от вредоносного ПО" Отправлено opennews, 30-Июн-16 11:17
Исследователи безопасности из компании Cisco обратили (http://blog.talosintel.com/2016/06/detecting-dns-data-exfilt...) внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций определения имён в DNS для специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях и номерах кредитных карт или информировать о поражении новой системы выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com", в которых при помощи формата base64 в имени поддомена закодированы передаваемые на управляющий сервер данные. Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различны межсетевые экраны, вовлекая местные DNS-резолверы в распространение запросов. Администраторам локальных сетей рекомендуется посмотреть лог на подконтрольных DNS-серверах - наличие в логе попыток резолвинга подозрительных длинных имён может стать индикатором наличия поражённых вредоносным ПО систем в локальной сети. URL: http://blog.talosintel.com/2016/06/detecting-dns-data-exfilt... Новость: http://www.opennet.me/opennews/art.shtml?num=44701

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи безопасности из компании Cisco обратили (http://blog.talosintel.com/2016/06/detecting-dns-data-exfiltration.html) 
> внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный 
> на выполнении операций определения имён в DNS для специально оформленных поддоменов. 
> Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы 
> паролях и номерах кредитных карт или информировать о поражении новой системы 
> выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com", 
> в которых при помощи формата base64 в имени поддомена закодированы передаваемые 
> на управляющий сервер данные.

> Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. 
> Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит 
> различны межсетевые экраны, вовлекая местные DNS-резолверы в распространение  запросов. 
> Администраторам локальных сетей рекомендуется посмотреть лог  на подконтрольных DNS-серверах 
> - наличие в логе попыток резолвинга подозрительных длинных имён может стать 
> индикатором наличия поражённых вредоносным ПО систем в локальной сети.

> URL: http://blog.talosintel.com/2016/06/detecting-dns-data-exfiltration.html 
> Новость: http://www.opennet.me/opennews/art.shtml?num=44701

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру