¿Cómo utiliza Malware los dominios no registrados?

4

Acabo de terminar de leer que el WannaDecryptor el malware estaba consultando. Un dominio no registrado. Pensé que se estaba conectando a su servidor de comando y control. ¿Esto es correcto?

Tengo entendido que si un programa de cualquier tipo intenta conectarse a un servidor en un dominio no registrado, la conexión fallará, debido a una falla en la resolución de la dirección IP. ¿Es eso correcto? Si no es así, ¿cómo se resuelve la dirección IP del dominio? ¿O me estoy perdiendo algo?

¿Se estaba comunicando el malware con el servidor de control utilizando un dominio no registrado configurado? Si fue así, ¿cómo fue posible sin utilizar el registro de DNS para la resolución de la dirección IP?

    
pregunta jason 15.05.2017 - 21:58
fuente

3 respuestas

13

Como mencionaron los dos anteriores, el malware no se estaba conectando al nombre de dominio no registrado. El dominio no registrado era una técnica que se suponía que debía usarse para evitar el análisis del malware.

Muchas veces, cuando los investigadores de malware están seleccionando malware, lo hacen en una máquina virtual. La forma en que ciertas máquinas virtuales resuelven los nombres de dominio hace que los nombres de dominio no registrados se consideren "resueltos" para las aplicaciones que se ejecutan en la máquina virtual. Los autores de malware avanzados lo saben y, por lo tanto, antes de infectar la máquina, a menudo intentarán conectarse a nombres de dominio no resueltos aleatorios. Si estos nombres de dominio se resuelven, entonces le indica al malware que está funcionando en una máquina virtual. Si detecta esto, abortará y se negará a infectar la máquina. Esto hace que el análisis del malware sea más difícil.

En el caso del malware WannaCry, el autor intentó crear una contramedida similar, pero lo hizo incorrectamente. Él codificó los nombres de dominio no registrados. Entonces, una vez que el investigador apuntó el nombre de dominio codificado a un receptor de DNS, todas las computadoras infectadas pensaron que estaban infectando una máquina virtual. Entonces, en lugar de iniciar el proceso de cifrado, el malware acaba de salir para evitar un mayor análisis.

Si el autor hubiera aleatorizado la comprobación del nombre de dominio, el registro del nombre de dominio no habría hecho nada.

    
respondido por el anon 15.05.2017 - 22:46
fuente
6

En el caso de WannaCry, el dominio no registrado actuó como un interruptor de eliminación.

El código hizo lo siguiente:

  • Emitir HTTP GET a un dominio no registrado
  • Si la solicitud GET falla (porque no está registrada) proceda a hacer daño
  • Si la solicitud GET tiene éxito , entonces aborta

Esto le da al atacante la capacidad de detener su propio ataque una vez que esté en libertad simplemente registrando el dominio.

Durante el ataque de WannaCry V1, un investigador de malware observó el tráfico hacia el dominio no registrado, lo registró y lo apuntó a un sumidero DNS . Él no sabía esto detendría el ataque.

Esto es bastante diferente a un comando & El servidor de control (C2) que quiere debe establecer una conexión para controlar máquinas remotas.

    
respondido por el Rob Sobers 15.05.2017 - 22:21
fuente
2

Eso no fue una conexión a un centro de control. Esto fue con toda probabilidad un intento de evitar el análisis en una máquina virtual.

Algunas cajas de arena / máquinas virtuales de malware interceptarán todas las solicitudes HTTP salientes y "responderán" como si fueran el servidor en cuestión. Al usar un dominio que no existe, Wannacrypt sabe que cualquier respuesta "válida" indica que se está ejecutando en dicho entorno. Se puede, por ejemplo, abortar sus operaciones.

Para obtener más detalles, lea la publicación del blog de la persona que lo detectó, o el artículo escrito por Talos .

    
respondido por el Jan Doggen 15.05.2017 - 22:22
fuente

Lea otras preguntas en las etiquetas