通过域名探测法检测僵尸网络

      暴风僵尸网络

安全研究人员已研究出一个新方法去探测那些通过不断改变域名来逃避检测的僵尸网络。Narus启动安全技术人员和德克萨斯A&M大学的研究人员根据网上提供的有关字母在域名中的分配模式的研究论文发明了这种技术，这个过程可以使研究人员能够识别到潜在恶意域名生成的域名。

研究人员写到，可以运用DNS流量分析法来探测域名何时或者是否正在运算生成。由于这个技术能够通过流量分析和“最低限度误报”来检测到的一个小型网络中的未知僵尸网络，所以这个技术可以很容易应用到到大型网络。

研究人员使用的网络信息流量来自亚洲，由超过100个路由器连接的第一层网络供应商提供，其中包含了大约27万的DNS名称的服务器的回复。研究小组还分析整个IPv4的地址空间的“DNS反相抓取”来获得对应的域名和IP地址列表，并且同时得到了一个曾经由Confick蠕虫、Torpig和Kraken生成的域名列表。

目前，僵尸网络的研究人员需要对恶意程序进行反向工程，来找出那些返回C&C 僵尸网络服务器指示的路径而变异之前生成的域名。反向工程给了供应商域名生成的精确计算法，在僵尸网络业主更改他们的新计算方法前，对于安全网络小组是非常有用的。

域名流出僵尸工具定期的随即生成域名来隐藏他们的踪迹。Confick蠕虫、Torpig和Kraken全部使用这种方法来掩盖它们的伺服器。在经济工作中僵尸网络受到了青睐，因为他们有时候要注册一个或者多个域名，但是安全供应商为了以防万一都会对他们进行一一登记。研究者说这是双方资源和时间的集约。

研究者还说，Confick-A版蠕虫每三个小时产生250个网域种子值作为当前的时间和日期，给供应者预先登记域名加大难度。Confick-C版蠕虫每次转移产生5万个域名，确保所有的僵尸工具种子产生相同的域名。

研究者报告中写到，Torpig僵尸工具生成的新域名，是一个随机的字符串生成器，最近成了Twitter最流行的话题。Kraken有更复杂的随机字符生成器和单词构建，听起来就像一个字符串，结合随机选取的一组普通英语名词、动词、形容词和副词后缀，如-able -dom -ment,-hood,或-ly等。

另一个僵尸网络的名叫IP fast-flux侦测技术,利用一个轮转方式的恶意的网站也在不断旋转跨越几个IP位址和改变他们的DNS记录。报纸上说，这个新的僵尸网络使用了两种新的方法，一个随机产生57-character-long域名,另一个随机接两个字典词条,产生新的名字。
 

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友