Các nhà nghiên cứu đưa ra công nghệ dự đoán tên miền độc hại
SEATTLE – một hình thức lừa đảo điển hình. Đây một cuộc tấn công sử dụng các mã độc dựa trên các website, tuy nhiên nó cần một vài điều kiện để có thể hoạt động được. Và một trong những điều kiện quạn trọng đó là có 1 tên miền chứa mã độc bên trong. Các nhà nghiên cứu dành rất nhiều thời gian ...
SEATTLE – một hình thức lừa đảo điển hình. Đây một cuộc tấn công sử dụng các mã độc dựa trên các website, tuy nhiên nó cần một vài điều kiện để có thể hoạt động được. Và một trong những điều kiện quạn trọng đó là có 1 tên miền chứa mã độc bên trong. Các nhà nghiên cứu dành rất nhiều thời gian xác định và gỡ các tên miền này xuống, trong khi một nhóm nhà nghiên cứu khác cũng đang cố gắng tìm hiểu cuộc chơi bằng cách dự đoán các tên miền sẽ được sử dụng cho mục đích xấu.
Các tên miền độc hại có xu hướng chụm lại với nhau, hiển thị trong từng nhóm lớn tại một số nhà cung cấp hosting. Thông thường, đây gọi là những công ty lưu trữ tên miền và họ không quá quan tâm đến những hoạt động sau này xuất phát từ những tên miền mà họ cung cấp sẽ như thế nào. Những kẻ tấn công, các băng nhóm lừa đảo, chủ nhân của những phần mềm độc hại thường rất quan tâm đến những nhà cung cấp như thế này. Chúng sẽ sử dụng dịch vụ của họ để lưu trữ các cơ sở hạ tầng phục vụ cho việc chỉ huy và kiểm soát botnet, các trang lừa đảo và tất cả các hình thức xấu khác. Chúng thường sẽ đăng ký hàng chục tên miền cùng một lúc, đặc biệt với các URL dạng chữ vô nghĩa, và sử dụng chúng khi cần thiết sau đó loại bỏ chúng bất cứ khi nào chúng được xác định là không có giá trị sử dụng.
Các nhà nghiên cứu Palo Alto Networks đã quan sát hành vi của những kẻ tấn công sử dụng các phương pháp này và xác định được một vài điều có thể giúp họ dự đoán những tên miền nào có thể ngăn chặn được mã độc ở một vài điểm bất kỳ. Họ phát hiện ra rằng một trong những tên miền được xác định là độc hại và bị liệt vào danh sách đen của các dịch vụ uy tín ngay lập tức chúng sẽ bị loại bỏ. Sau một khoảng thời gian, những tên miền đó được loại bỏ khỏi hệ thống các dịch vụ uy tín và không còn xuất hiện trong những danh sách đen khác nó sẽ tụ chung lại thành 1 nhóm và được các hacker sử dụng lại sau này. Trong nghiên cứu được trình bày tại hội nghị Virus Bulletin vào Thứ tư, Xu Wei , Zhang Yanxin và Kyle Sanders của Palo Alto cho biết họ đã phát triển một công thức cho phép dự đoán những tên miền nào sẽ được hacker sử dụng lại.
Threatpost.com