Эксперты взломали DGA-алгоритм трояна Sphinx

Эксперты взломали DGA-алгоритм трояна Sphinx

Исследователи смогут вычислить местоположение всех возможных C&C-серверов вредоноса.

image

Исследователи безопасности из Arbor Networks взломали алгоритм генерации доменных имен (Domain Generation Algorithm, DGA), используемый банковским трояном Sphinx. Теоретически, это поможет экспертам совместно с правоохранительными органами ликвидировать ботнет.

Sphinx был обнаружен в августе прошлого года и представляет собой очередную модификацию известного банковского трояна Zeus. Подобно Zeus, установившись на системе жертвы, вредонос подключается к удаленному серверу, загружает дополнительные модули и получает дальнейшие инструкции. Список IP-адресов и доменов (т.е., C&C-серверов), к которым подключается Sphinx, вшит в его исходный код.

В новые версии трояна, помимо статичных данных C&C-серверов, вирусописатели добавили поддержку резервной инфраструктуры C&C-серверов на случай, если правоохранители ликвидируют основную.

Как пояснил эксперт Arbor Networks Дэннис Шварц (Dennis Schwarz), резервная система базируется на DGA, генерирующем доменные имена, известные только операторам трояна. По словам исследователя, данный алгоритм оказался очень простым и эксперты с легкостью взломали его. Теперь они смогут вычислить местоположение всех возможных C&C-серверов трояна. Как оказалось, алгоритм генерирует доменные имена на основе текущей даты. Отталкиваясь от даты, DGA генерирует 16 случайных символов и добавляет в конец .com.


Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале