通过改变域名和向HTTP主机字段加入非恶意主机名,恶意软件开发者将Web安全系统玩弄于鼓掌之间。这种新方法可确保恶意软件作者的C&C服务器不被安全系统封禁。
发现该技术的Cyren安全公司将其称为“幽灵主机”,涉及在僵尸网络通信的HTTP主机字段包含进未知主机名。由于这些主机名既有已注册的,也有未注册的,Web安全和URL过滤系统便会被其骗过。
使用该技术的恶意软件家族之一,还为域名www.djapp(.)info提供域名解析,导致多家安全公司将该域名标记为恶意,对该域名的HTTP请求无法通过这些公司保护下的网络。
不过,紧跟IP地址的域名解析,在对新感染僵尸网络发送的C&C指令进行分析时,Cyren研究人员发现了昭示着成功感染新主机的HTTP包。
而且,观察到的目的IP地址是已知不良服务器,而用于请求的HTTP主机字段却是完全不同的域。这些就是所谓“幽灵主机”。在该具体案例中,虚假域为“events.nzlvin.net”和“json.nzlvin.net。
鉴于只有初始解析的域被封禁,幽灵主机名依然存活,所以使用该技术的恶意软件作者能够确保与C&C服务器的通信不受影响。而且,僵尸网络拥有者可以操纵服务器根据收到的“编码”消息(利用不同的幽灵主机名),做出不同的响应。
该 C&C URL 的IP地址通常不被封禁,这主要是因为服务器的内容可能合法和非法的两种都含有。如果整个服务器IP被封,用户就再也不能访问合法服务了。
上述案例中与不良IP关联的幽灵主机还有很多。其中一些是注册过的(与该恶意软件出现的日期一致),更多的则没有注册。
但是,对虚假域名的检测率很低——意味着僵尸网络作者将继续使用“幽灵主机”技术。有效规避检测的技术,傻子恶软作者才会弃用。
幽灵主机是犯罪侵入技术复杂性的又一例证,也极好地证明了:网络犯罪骗术日渐高明的时代,安全厂商通常是保护公司企业的不二选择。
本文转自d1net(转载)
