Perché il malware controlla periodicamente google.com

32

Sto osservando alcuni PCAP malware, ad es. link .

Una delle cose che ho visto di frequente sono le richieste ad Alexa dei milioni di siti (ad es. yandex, google, yahoo). Ho sempre pensato che fosse una tecnica di controllo della connessione.

Tuttavia, recentemente ho pensato ad altre informazioni che è possibile ricavare da quella richiesta (ad esempio una funzionalità di geoip di massima tramite il reindirizzamento DNS / pagina).

Sto cercando link sull'argomento e pensieri su questa tecnica nel malware comune / raro.

    
posta Fred Concklin 23.09.2014 - 16:51
fonte

4 risposte

62

Molto probabilmente, sta solo cercando di verificare se c'è una connessione Internet funzionante.

Gli autori di malware presumono che:

  • Google (o altri siti Alexa Top-1M) aumenterà il 99,999% delle volte.
  • Il traffico verso siti di produttività comuni come Google non verrà contrassegnato come insolito.
  • È improbabile che tu (o il tuo amministratore di rete) abbia bloccato questi siti sul gateway.

Pertanto, Google è un buon candidato.

    
risposta data 23.09.2014 - 17:50
fonte
12

Un semplice test di connessione è una delle ragioni per cui il malware potrebbe connettersi a Google, Yahoo e altri motori di ricerca, ma vorrei presentare una spiegazione diversa.

Una frequente applicazione per botnet è l'ottimizzazione del motore di ricerca.

Come potresti notare, la pagina dei risultati di Google (e della maggior parte degli altri motori di ricerca) non conduce direttamente ai risultati, ma piuttosto ai collegamenti di reindirizzamento. Ciò consente loro di verificare quali risultati i visitatori effettivamente visitano. I motori di ricerca utilizzano queste informazioni come parte dei loro algoritmi di classificazione. Quando molti utenti cercano una frase specifica e poi scelgono tutti un risultato specifico che non è il primo, quel risultato deve ovviamente essere più rilevante del risultato numero uno e deve essere spostato verso l'alto. Quindi, simulare molte richieste di ricerca per una determinata frase e quindi scegliere un sito Web specifico dai risultati può comportare che la pagina sia classificata più in alto per quella frase.

Inoltre, la funzione di completamento automatico di molti motori di ricerca si basa su ciò che gli altri utenti cercano e che lo rende un altro obiettivo interessante per lo spam dei motori di ricerca. Quando avrò un milione di bot cercare malware behavior stackexchange.com , chiunque altro inizi a digitare malware behavi in google otterrebbe la frase sopra come suggerimento di completamento automatico. La ricerca di malware behavior restituisce tutti i tipi di siti Web diversi, mentre fai clic su quel risultato di completamento automatico restituisce principalmente risultati da questo sito Web . Ciò aumenterebbe davvero il nostro traffico.

    
risposta data 24.09.2014 - 15:07
fonte
6

Sto solo indovinando qui. Ma fornirebbe una soluzione alternativa al problema della risoluzione dei nomi per utilizzare un motore di ricerca invece del DNS per trovare un server CnC o per eseguire il polling di aggiornamenti e campagne.

Non è chiaro dalla pagina web se stava semplicemente colpendo la prima pagina o eseguendo una query - e non ho strumenti qui per leggere i file pcap da solo. Anche se questo non è il motivo per questo caso, non è possibile scartarlo come opzione da usare per il malware.

    
risposta data 23.09.2014 - 18:11
fonte
2

Ricordo un caso (ma non il nome del caso) in cui il malware inviava periodicamente richieste HTTP vuote a siti Web grandi e affidabili per ottenere un UTC affidabile, il malware è stato progettato con una bomba temporizzata su di esso, impostato su Denial of Fornisci un sito specificato ad una certa data / ora.

    
risposta data 29.09.2014 - 15:32
fonte

Leggi altre domande sui tag