Come possono qualcuno domini sinkhole?

Naviga le tue risposte
16

L' articolo di Wikipedia su CryptoLocker dice:

In late-October 2013, security vendor Kaspersky Labs reported that with the help of a researcher, it had created a DNS sinkhole to block some of the domain names used by CryptoLocker.

L' articolo di Wikipedia su sinkhole DNS dice:

A DNS sinkhole, also known as a sinkhole server, internet sinkhole, or BlackholeDNS is a DNS server that gives out false information, to prevent the use of the domain names it represents. The most common use is to stop botnets, by interrupting the DNS names the bot net is programmed to use for coordination. Sinkholes can be used both constructively and destructively, depending on the target.

Come funziona? Chi può accedere ai domini sinkhole? Sono un laico del DNS, quindi per favore portami con me.

Per quanto ho capito, è necessario controllare / possedere uno dei migliori server DNS utilizzati da altri server DNS, giusto? In questo modo tutti gli altri server DNS ottengono gli IP aggiornati (= errati) per i domini in questione. Altrimenti raggiungerai solo un numero limitato di utenti (ad esempio quelli che utilizzano un server DNS personalizzato specifico che controlli ecc.).

Quindi significa che "Kaspersky Labs e il ricercatore" controllano un server DNS simile? O significa che hanno semplicemente identificato i domini in questione e li hanno inviati agli operatori dei server DNS (nella speranza che li avrebbero bloccati)? O c'è un modo per inghiottire i domini senza controllare un server DNS?

E c'è un modo per notare che un dominio è sprofondato? Forse una bandiera o qualcosa del genere? O è l'unico modo per consultare un server DNS alternativo alternativo e confrontare gli IP risolti?

    
posta unor 02.11.2013 - 11:44
fonte

3 risposte

18

Nel articolo a cui fa riferimento la pagina di Wikipedia, le cose sono più chiare. Ecco la storia:

Il malware CryptoLocker crittografa i file dell'utente con una chiave generata casualmente. Per attuare il riscatto, il malware deve inviare la chiave di decodifica a un centro di comando e controllo gestito dai cattivi. Un IP o un nome di server C & C fisso e singolo verrebbe presto spento dalle autorità. Per evitare questo problema, gli autori di CryptoLocker hanno utilizzato il seguente schema: il C & C registra nomi di dominio dall'aspetto casuale ad un tasso piuttosto elevato (1000 al giorno!). I nomi di dominio sono generati con un algoritmo pseudo-casuale deterministico, che anche il malware conosce. Pertanto, quando CryptoLocker viene eseguito sul computer di una vittima, tenta di utilizzare uno dei nomi di dominio du jour per parlare con il C & C. La speranza dell'attaccante è che le forze dell'ordine debbano passare attraverso la pesante burocrazia amministrativa per forzare la chiusura di un nome di dominio e non saranno in grado di farlo 1000 volte al giorno.

Poiché il malware conosce l'algoritmo di generazione del dominio, un ricercatore (Dimiter Andonov) ha decodificato il codice e quindi è riuscito a prevedere in anticipo i nomi dei domini. Kaspersky ha "scavalcato" tre nomi di dominio su 3000 per tre giorni consecutivi; questo significa che semplicemente ... hanno registrato questi domini. Che ha impedito ai cattivi di fare lo stesso, ma fornisce anche alcuni dati a Kaspersky. Kaspersky voleva prendere delle misure, non per contenere l'infezione. Con i loro tre nomi di dominio, ha salvato circa 1/1000 delle vittime di CryptoLocker durante tre giorni (non è un risultato elevato, in generale), ma ha anche ottenuto statistiche sulla distribuzione mondiale delle vittime: 1/1000 delle macchine infettate da CryptoLocker , durante questi tre giorni, ho parlato non con la C & C, ma con i sistemi di Kaspersky, che ovviamente hanno detto loro non per crittografare i dati, ma hanno anche notato chi ha parlato con loro.

Per bloccare veramente CryptoLocker a livello DNS, tutti i 1000 domini ogni giorno dovrebbero essere bloccati (ad es. da root DNS), il che potrebbe implicare qualche danno collaterale (normali, domini onesti potrebbero essere, per sfortuna, parte di i nomi generati casualmente).

Il termine "sinkhole" è alquanto offensivo qui . Una sinkhole real implica qualcosa di più strong: il sinkhole è un server DNS che "in qualche modo" viene inserito nella catena di server DNS a cui viene chiesta la propria opinione sulla risoluzione di un determinato nome. Una versione locale è semplice: inserisci alcune informazioni host-to-IP esplicite in /etc/hosts (o il suo equivalente Windows), che sovrascriveranno qualsiasi cosa che il sistema DNS esterno possa dire sul nome. Per un effetto più globale, questo deve essere fatto a livello di sistema operativo (ad esempio, Microsoft può spingere una patch del sistema operativo che altera la risoluzione dei nomi) o su un DNS root (o una "sub-root" come " co.uk ") ").

In questo senso, la differenza tra una sinkhole DNS e Lo spoofing del DNS è che nel primo caso viene eseguito da persone" buone ". Formalmente, si tratta di un tipo di attacco ... che ci ricorda che il fornitore del sistema operativo e del browser che utilizzi (ad esempio Microsoft) e gli operatori DNS radice sono "attendibili": se sono ostili a te, sei condannato.

    
risposta data 02.11.2013 - 13:51
fonte
6

How does this work? Who can sinkhole domains?

Chiunque può accedere ai domini sinkhole. La chiave è che interessa solo i sistemi che utilizzano quel particolare sinkhole per la risoluzione DNS. Ovviamente, i server DNS di root oi server DNS controllati dagli ISP incideranno su un numero maggiore di macchine.

Dai un'occhiata al articolo della pagina wikipedia collegata a

.

Dimiter Andonov from ThreatTrack Security reverse- engineered the algorithm and Kaspersky Lab sinkholed three domains to measure the number of worldwide victims. In total, we've had 2764 unique victim IP's contacting the sinkholed domains.

Kaspersky utilizza un sinkhole DNS per misurare il numero di vittime in tutto il mondo. L'articolo non indica chi o quali server DNS utilizza Kaspersky per realizzare questo, ma è presumibilmente di proprietà di loro.

And is there a way to notice that a domain is sinkholed? Maybe a flag or something? Or is the only way to consult an additional, alternative DNS server and compare the resolved IPs?

Non penso c'è un modo semplice e veloce per farlo. Ho notato che questo strumento chiamato dnsyo su GitHub potrebbe essere utile, ma dovrai approfondire ulteriormente questo argomento.

    
risposta data 02.11.2013 - 13:38
fonte
-1

Puoi sapere dalla risposta che stai ricevendo da quel dominio sotto il collegamento ha la schermata link

    
risposta data 16.08.2016 - 08:20
fonte

Leggi altre domande sui tag

Perché gli aggressori si preoccupano (banalmente) di offuscare il loro codice sorgente? Quale schema asimmetrico fornisce la firma più breve, pur essendo sicuro?