Новая версия трояна Matsnu использует реконфигурируемый алгоритм генерации доменных имен

image

Теги: троян, новая версия, доменное имя

DGA-алгоритм трояна генерирует 24-символьные доменные имена, основанные на комбинации существительных и глаголов.

Исследователи компании Seculert  обнаружили  новую версию трояна Matsnu (также известную как Trustezeb), алгоритм генерации доменных имен (domain generation algorithm, DGA) которой использует довольно любопытную технику для обхода средств защиты безопасности.

DGA-алгоритм Matsnu генерирует 24-символьные доменные имена, основанные на комбинации существительных и глаголов (существительное – глагол – существительное - глагол). Используемые слова могут быть введены злоумышленником или взяты из предопределенного списка, содержащего 878 существительных и 444 глагола.

По словам технического директора и сооснователя Seculert Авива Раффа (Aviv Raff), используя данный метод, злоумышленники пытаются обойти фонетические алгоритмы машины, которые отслеживают бессмысленные доменные имена, например, ldfjdiehwslgoeh.com.

DGA-алгоритм является реконфигурабельным, поскольку позволяет киберпреступникам установить количество ежедневно генерируемых доменных имен и время, через которое ранее сгенерированное доменное имя может быть использовано повторно.

После инфицирования машины, троян соединяется с C&C-сервером посредством отправки HTTP-запроса. По команде C&C-сервера вредонос собирает информацию о системе, в том числе имени пользователя, имени компьютера в сети, версии операционной системы, о центральном и графическом процессорах, виртуальных машинах, а также языках, драйверах и установленных средствах защиты безопасности.

Кроме того, по инструкции C&C-сервера троян может выполнять различные действия. Например, самоудалиться, самомодифицироваться, обновить предопределенный список доменных имен или загрузить файлы. Как пояснили специалисты Seculert, коммуникации между инфицированным компьютером и командным сервером обфусцированы, а все пересылаемые данные сжаты и зашифрованы.

По словам экспертов, Matsnu использует новый алгоритм с июня 2014 года. Наибольшее количество инфицирований этим трояном было зафиксировано в Германии (89%). Немного меньше – в Австрии и Польше.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus