Имена DNS дают представление о вредоносных коммуникациях, исследователи находят

исследователь

OpenDNS, что снабжает службы безопасности и доменную фильтрацию, находит, что применение некоторых доменных имен во вредоносной инфраструктуре возможно предсказано.Несколько DarkHotel, которая заразила предназначенных начальников после того, как они соединились с сетями отеля, применяла довольно много доменов, которые включали определенные слова либо корни слова, включая «непроизвольный», «updat», «serv», и «вольный».

Домены, которые связаны с новостями, также распространены в разведывательных операциях, проводимых группой DarkHotel, также известной как APT 1. Домены, такие как «myyahoonews», «newsesport», и «newsonlinesite» все употреблялись в той кампании.«В случае если домен был зарегистрирован в Куала Lampur и размещен в Российской Федерации и не имеет никаких связей в сетевой инфраструктуре к компании, которая говорит о том, что существует что-то не хорошо продолжение», сообщил он.

Анализ разрешил OpenDNS обнаруживать новые домены, применяемые в качестве части инфраструктуры атакующих, но пока компания не сократит количество фальшивых предупреждений, также известных как фальшивые хорошие стороны, это будет применять аналитиков для ручного рассмотрения любых странных доменов.Компания, которая обрабатывает десятки миллиардов запросов доменного имени ежедневно, создала метод, что применяет множество способов обработки естественного языка и другой информации, чтобы угадать, употребляется ли домен в злонамеренных целях. Названный NLPRank, метод удачно идентифицировал связи, применяемые для инфицирования жертв в почти всех вредоносных кампаниях, таких как DarkHotel и Carbanak, согласно двум сетевым должностям, обрисовывающим изучение.

Во многих отношениях метод проходит через ту же логику как аналитик по вопросам безопасности, но в намного более широком масштабе, принимая к сведенью громадное разнообразие факторов. Иеремия О’Коннер, исследователь OpenDNS, работа которого стала причиной существующей совокупности, продумал способ при рассмотрении доменов, применяемых в известных вредоносных кампаниях.Тогда как OpenDNS может блокировать домены, которые, как мы знаем, употреблялись во вредоносном программном обеспечении, научно-исследовательская работа пытается создавать совокупность, которая в главном блокирует связи, которые имеют большие шансы того, чтобы быть злонамеренным. Уже, OpenDNS применяет совокупность для установки флага странных доменных поисков, которые тогда направляются аналитику для предстоящего расследования.

Совокупность производит предупреждения примерно для один 000 доменных поисков любой час.Исследователи OpenDNS объединили записи Whois, эти геолокации и данные о логической инфраструктуре маршрутизации, вместе с обработкой текста естественного языка, для нахождения способов, которыми домены группы DarkHotel отличались.

Доменные имена, применяемые в операциях и шпионаже киберпреступления, держат ключи к разгадке обнаружения нападений, перед тем как совокупности жертв поставятся под угрозу, исследователи с компанией Защиты в Интернете, которую OpenDNS сообщил пять марта.«В большинстве случаев, злонамеренные домены следуют модели применения неспециализированных слов ”злоупотребления”, что есть, по какой причине мы решили применять способы обработки текста естественного языка для этого опыта», заявил О’Коннор в сообщении в блоге. «Один из способов, мы раньше разбирали эти домены, должен был извлечь все слова, отысканные в британском словаре, и постараться отыскать каждые общности».

В то время как исследователи изучают управления и инфраструктуру командования вредоносных кампаний, они интуитивно видят образцы в злонамеренных доменах, сообщил Эндрю Хэй, директор по изучению безопасности для OpenDNS, eWEEK.«Изучение не достигло места, где мы машинально блокируем каждые встряски», сообщил Хэй OpenDNS. «Мы делаем ручные выборочные испытания и добавляем к тёмному перечню как надлежащий».


TCNMS.RU