TDSS感染财富500强的恶意软件包括规避策略
已经发现,使用域生成算法(DGA)与它的命令和控制(C&C)通信时,发现了臭名昭著的TDSS恶意软件的新版本,该恶意软件已经遍及整个企业。
TDSS也称为TDL4,它通过感染主引导记录来工作,这使安全程序很难销毁。安全研究人员报告说,该恶意软件曾一度构建了一个450万受害者的僵尸网络。2011年,它与臭名昭著的DNSChanger特洛伊木马程序的传播有单独的联系,后者是去年FBI拆除行动的中心。
据IT安全技术公司Damballa称,最新发现使人们对该恶意软件的C&C基础结构有了新的了解,该基础结构似乎正在管理全球超过25万受感染受害者的多种版本的恶意软件。与乔治亚州技术信息安全中心合作,Damballa的研究人员使用恶意软件的某些域发起了一个漏洞操作,以收集有关命令和控制结构的证据。
研究人员发现,最新版本的恶意软件已感染了《财富》 500强企业中的46家。其他受害者包括政府机构和ISP网络。污水坑捕获的C&C流量还产生了点击欺诈操作的新细节,利用基于DGA的C&C提供有关欺诈操作成功的状态报告,以便分子可以使用该信息来提供整个欺诈活动。点击欺诈操作中被劫持最多的域名包括Facebook.com,Google.com和YouTube.com。
总共有85个C&C服务器和418个唯一域被标记为与恶意软件有关,其中俄罗斯,罗马尼亚和荷兰托管了最多的C&C服务器。
Damballa学术科学主管Manos Antonakakis解释说,传统上将域生成算法(DGA)用作逃避基于签名的检测系统和静态黑名单的方法。他告诉eWEEK,使用这种策略-也称为域通量-使攻击者能够利用网络安全系统无法识别和阻止最新的活动域名。他补充说,该技术已在恶意软件作者中流行,并已被Zeus和BankPath等特洛伊木马采用。Blackhole漏洞利用工具包还使用了伪随机域生成,以使攻击更加持久。
Antonakakis表示:“正如我们先前报道的那样,基于DGA的通信技术的采用率以及它们对某些最先进的恶意软件分析专业人员进行审查的能力,应该引起事件响应团队的极大关注。”一份声明。
他补充说:“通过向已经逃避检测并通过感染主启动记录来规避补救措施的恶意软件添加难以捉摸的DGA C&C功能,TDL4变得越来越有问题。” “凭借其已知的功能,它可以充当其他恶意软件的发射台,并且TDSS具有向受害者分租访问的历史,因此,长期未被发现的企业网络中的这些隐藏感染是安全团队看不见的定时炸弹。努力发现。”