声明:恒信彩票官网 部分内容均来自互联网网友共享或转载其他热门文章,若侵犯您的权益,请及时与我们联系。
您现在的位置:主页 > 学习用品 > 文具盒 > 通过85个域进行通信,安全恒信彩票官网研究人员找到

通过85个域进行通信,安全恒信彩票官网研究人员找到

作者:恒信彩票官网 发布时间:2019年09月05日 浏览: 1014

作者:RobertLemos

Flame恶意软件是一种似乎针对伊朗和其他中东国家的复杂威胁,至少已有四年历史了。新的研究发布于6月4日。

在对Flame的基础设施进行了为期一周的合作后,俄罗斯安全公司卡巴斯基实验室和域名服务提供商OpenDNS报告说,他们发现至少有85个域名注册了根据OpenDNS,最后三个域用于托管Flame命令和控制服务器。前三个域在2008年3月2日注册。

大多数域以字符串开头看似无害的字符,例如banner,flash,dns或server。通过使用常用词构造名称,攻击者试图使被感染机器和命令和控制服务器之间的通信不太可能被阻塞,DanOpenDNS研究副总裁哈伯德在媒体报道中表示6月4日的会议。

进一步阅读非结构化数据分类的六个理由IT科学案例研究:无代码收费应用程序开发...

“计划非常好,执行得很好,所以它是一个从这个角度来看非常复杂的攻击,“哈伯德说。”

在伊朗计算机和应急响应小组提供的副本之后,卡巴斯基实验室,赛门铁克和其他安全公司在5月底发布了对Flame的第一次分析。对公司的恶意软件。受该计划感染的计算机在伊朗,黎巴嫩,叙利亚,苏丹以及中东和北非的其他国家被发现。在欧洲国家和美国也发现了感染迹象,但安全专家也有该计划认为它不一定针对这些国家。

在安全公司发布他们的初步研究后数小时,火焰指挥和控制基础设施被拉下线,表面上是由其运营商RoelSchouwenberg,高级卡巴斯基实验室的研究员告诉记者。该公司使用了下沉服务器,它捕获了用于Flame的命令和控制基础设施的通信,以利用受感染计算机的网络。

在最新分析中,OpenDNS和卡巴斯基实验室发现大约20个域注册表用于注册超过七十个域。此外,虽然域构成了Flame运营商使用的主要命令和控制信道,但是可能存在受损系统之间的另一个通信信道,例如对等域。Schouwenberg表示,“我们注意到一些受害者在过去一周内连接了更新版本的信息,”他说道。“p>

“因此,即使命令和控制基础设施失效,受害者的机器也会以某种方式更新。”

与域名注册局GoDaddy一起执行的域名注册活动分析强调了Flame之间的差异两个先前的攻击,Stuxnet和Duqu。火焰运营商使用的命令和控制服务器全部运行在UbuntuLinux上,而Stuxnet和Duqu都使用CentOS进行操作.Duqu运营商在隐藏互联网方面“超级隐秘”提供恶意软件和命令的实际计算机的地址,而Flame操作员从每个域的服务器运行其控制脚本。

“从这个角度来看,我们可以说Duqu攻击者很多卡巴斯基的高级实验室专家亚历克斯·戈斯特夫(AleksGostev)写道,与火焰运营商相比,他们更加谨慎地隐藏自己的活动。

0
赞一个
关键词:
推广链接:http://www.assmav.com/xuexiyongpin/wenjuhe/201909/749.html
分享到: 0

恒信彩票官网 特荐