You Are Reading

.

Compartelo:
0

Hackers adoptan trucos de generación de dominios para botnets

Jesus Bourne 26 de julio de 2012
Hackers han comenzado a adoptar técnicas de generación de dominio, normalmente utilizadas para malware de tipo botnets con el objetivo de prolongar los ataques basados en web, según investigadores de seguridad de la firma de antivirus Symantec.

Estas técnicas de generación de dominio fueron recientemente observadas en una serie de ataques que usan descargas sin consentimiento del usuario (descargas drive-by) que usaron el toolkit de exploits Black Hole para infectar a usuarios de Internet con malware al visitar sitios web comprometidos, dijo Nick Johnston, investigador de seguridad de Symantec, en su blog el martes.

Los ataques de descargas drive-by dependen de un código infectado en sitios web comprometidos para redirigir de forma silenciosa a los visitantes a dominios externos que alojan toolkits de exploits como Black Hole. Esto normalmente se hace a través de iframes ocultos en etiquetas HTML.

Estos toolkits verifican si el navegador de los usuarios contiene plug-ins vulnerables y si los encuentran, cargar los exploits correspondientes para instalar malware.

Los ataques web usualmente tienen una vida activa corta porque tanto investigadores de seguridad, proveedores de alojamiento de sitios y encargados del registro de dominios trabajan juntos para dar de baja los sitios web del ataque y suspender los nombres de dominio abusivos.

Debido a esfuerzos similares para dar de baja servidores de comando y control de botnets (C&C), algunos autores de malware han implementado mecanismos de respaldo para permitirles recuperar el control de las computadoras infectadas.

Uno de estos métodos involucra comunicarle al maware nuevos nombres de dominio generados diariamente de acuerdo a un algoritmo especial en caso de que los servidores C&C se vuelvan inaccesibles.

Esto permite a los atacantes saber con qué nombres de dominio intentarán comunicarse sus botnets en una fecha determinada, para que puedan registrarlas por adelantado y usarlas para liberar actualizaciones.

Una técnica similiar fue usada en recientes ataques de Black Hole. Los nombres de dominio en las URL cargadas por iframes ocultos cambiaban diariamente y fueron  generados por un algoritmo dependiente de la fecha.

Los atacantes registraron todos los dominios que este algoritmo generará hasta el 7 de agosto, para asegurarse de que sus ataques funcionarán hasta esa fecha sin requerir cambios al código insertado en los sitios web comprometidos.

“Hasta ahora hemos visto un pequeño pero considerable flujo de dominios comprometidos usando esta técnica”, señalaron los investigadores de Symantec. “Esto sugiere que este es problamente un tipo de prueba o estrategia que podría propagarse en el futuro”. 



Fuente: TechWorld

0 comentarios:

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT