Computerworld News Service: Hackere er begyndt at anvende teknikker til at danne domænenavne, som normalt bruges af botnet-malware, for at forlænge deres webbaserede angrebs levetid, advarer sikkerhedseksperter fra antivirus-leverandøren Symantec.
Sådanne teknikker til dannelsen af domænenavne er for nylig blevet observeret i forbindelse med en række driveby-download-angreb, der har brugt hackerværktøjet Black Hole til at inficere webbrugere med malware, når de besøger kompromitterede websites, forklarer sikkerhedsanalytiker Nick Johnston fra Symantec.
Driveby-download-angreb skyder skadelige kode ind på kompromitterede websites og omdirigerer på den måde de uvidende besøgende til eksterne domæner, der er værter for angrebsværktøjer såsom Black Hole. Dette gøres normalt ved hjælp af en skjult iframe, der er et html-tag.
Hackerværktøjet tjekker herefter om de besøgendes browsere indeholder sårbarheder. Hvis der opdages en sårbarhed indlæses den relevante angrebskode og malwaren installeres.
Sådanne webangreb har som regel en kort levetid, fordi der er masser af sikkerhedsanalytikere, der samarbejder med leverandører af webhosting og internetudbydere om at lukke disse skadelige websites ned og opsige de misbrugte domæner.
Lignende tiltag bruges i kampen mod botnettenes command and control-serverne og derfor har hackerne udviklet metoder, der gør det muligt for dem efterfølgende at genvinde kontrollen over allerede inficerede computere.
Indtil 7. august
En af disse metoder involverer, at botnet-malwaren opretter forbindelse til nye domænenavne, der dannes på daglig basis ud fra en særlig algoritme, i det tilfælde at de primære command and control-serverne ikke længere er tilgængelige.
Og det er denne teknik, der nu også anvendes i Black Hole-angreb. Domænenavnene i de url'er, der indlæses af de skjulte iframes, skifter fra dag til dag og dannes af en datoafhængig algoritme.
Angriberne har registreret alle de domæner, som denne algoritme vil generere indtil 7. august, for at sikre sig at deres angreb fungerer indtil den dato, uden at det bliver nødvendigt at ændre i den skadelige kode, der skydes ind på de kompromitterede websites.
"Indtil videre har vi observeret en lille men lind strøm af kompromitterede domæner, der anvender denne teknik," fortæller analytikerne fra Symantec.
"Det kan være et tegn på, at dette er en form for test eller et pilotprojekt, der måske vil blive udvidet på et senere tidspunkt."
Oversat af Thomas Bøndergaard
