Come utilizza il malware i domini non registrati

4

Ho appena finito di leggere che il malware WannaDecryptor ha interrogato un dominio non registrato. Pensavo che si collegasse al suo server di comando e controllo. È corretto?

È a mia conoscenza che se un programma di qualsiasi tipo tenta di connettersi a un server in un dominio non registrato, la connessione non riuscirà, a causa di un errore di risoluzione dell'indirizzo IP. È corretto? In caso contrario, come viene risolto l'indirizzo IP del dominio? O mi sto perdendo qualcosa?

Il malware comunicava con il server di controllo usando un dominio configurato non registrato? Se lo era, in che modo è riuscito a utilizzare la registrazione DNS per la risoluzione dell'indirizzo IP?

    
posta jason 15.05.2017 - 21:58
fonte

3 risposte

13

Come i precedenti due menzionati, il malware non si collegava al nome di dominio non registrato. Il dominio non registrato era una tecnica che doveva essere utilizzata per impedire l'analisi del malware.

Spesso, quando i ricercatori di malware selezionano il malware, lo fanno in una macchina virtuale. Il modo in cui determinate macchine virtuali risolvono i nomi di dominio fa sì che i nomi di dominio non registrati vengano considerati "risolti" per le applicazioni in esecuzione sulla VM. Gli autori avanzati di malware lo sanno e così, prima di infettare la macchina, tenteranno spesso di connettersi a nomi di domini irrisolti casuali. Se questi nomi di dominio vengono risolti, segnala al malware che sta funzionando su una macchina virtuale. Se rileva questo, interromperà e rifiuterà di infettare la macchina. Questo rende l'analisi del malware più difficile.

Nel caso del malware WannaCry, l'autore ha tentato di creare una contromisura simile, ma lo ha fatto in modo errato. Ha codificato con difficoltà i nomi di dominio non registrati. Quindi, una volta che il ricercatore ha indirizzato il nome di dominio codificato su un sink DNS, tutti i computer infetti pensavano di infettare una VM. Quindi, invece di avviare il processo di crittografia, il malware è appena uscito per impedire ulteriori analisi.

Se l'autore avesse randomizzato il controllo del nome di dominio, la registrazione del nome di dominio non avrebbe fatto nulla.

    
risposta data 15.05.2017 - 22:46
fonte
6

Nel caso di WannaCry, il dominio non registrato fungeva da kill switch.

Il codice ha realizzato quanto segue:

  • Problema HTTP OTTIENI al dominio non registrato
  • Se la richiesta GET fallisce (perché non è registrata) procedi facendo danni
  • Se la richiesta GET succede , allora abortisci

Questo dà all'aggressore la possibilità di fermare il proprio attacco una volta che è in libertà semplicemente registrando il dominio.

Durante l'attacco WannaCry V1, un ricercatore di malware ha osservato il traffico verso il dominio non registrato, lo ha registrato e lo ha indirizzato a una sinkhole DNS . Lui non sapeva questo avrebbe fermato l'attacco.

Questo è abbastanza diverso da un comando & Control (C2) server che vuole per stabilire una connessione per controllare le macchine remote.

    
risposta data 15.05.2017 - 22:21
fonte
2

Questa non era una connessione a un centro di controllo. Questo era con ogni probabilità un tentativo di impedire l'analisi in una macchina virtuale.

Alcune sandbox / macchine virtuali malware intercettano tutte le richieste HTTP in uscita e "rispondono" come se fossero il server in questione. Utilizzando un dominio non esistente, Wannacrypt sa che qualsiasi risposta "valida" indica che è in esecuzione in tale ambiente. Può quindi ad es. interrompere le sue operazioni.

Per ulteriori dettagli, leggi il post del blog della persona che ha rilevato questo o la annotazione di Talos .

    
risposta data 15.05.2017 - 22:22
fonte

Leggi altre domande sui tag