瑞士CERT破解僵尸网络域名生成算法 封禁大批顶级域名

瑞士政府计算机应急响应中心( GovCERT )成功分析出了僵尸网络 Tofsee 用于通信的 C&C 服务器的域名生成算法、并封锁了约 520 个瑞士域名,大大削弱了僵尸网络 Tofsee 的能力。

GovCERT 捕获了僵尸网络 Tofsee 的恶意软件样本,发现僵尸网络的域名是算法生成的,且约一半以上的站点使用瑞士顶级域名,剩下的使用 .biz 商业专用域名。这引起了当局极大的关注,经研究分析最终破解了域名生成算法的运算模式并推算出接下来 12 个月中可能会使用到的 520 多个瑞士顶级域名。

wkiom1hjj8iqehrlaamqubpscay108-jpg-wh_651x-s_2830238086

恶意软件 Tofsee DNS 查询查询截图

GovCERT 根据算法得出了一个域名黑名单,并通知瑞士域名注册中心将黑名单列表域名暂时封掉,僵尸网络在将来的一年内都无法使用这些域名发送命令。但僵尸网络还可以使用 .biz 域名进行通信,还无法彻底阻断僵尸网络间的通信联系。僵尸网络使用域名生成算法(DGAs)的“好处”在于:受影响设备只需根据算法得出下一次进行通信的域名地址,并在特定的时间访问由僵尸网络作者临时注册使用的域名接受信息即可,这大大减少了被发现的可能性。

虽然,GovCERT 的这次行动不会对垃圾邮件和恶意软件的扩散产生很大的影响,但是,这是一个国家 CERT 中心正确使用其职能的表现,有助于瑞士整治网络环境、减少恶意软件的来源。

未经允许不得转载:JX BLOG » 瑞士CERT破解僵尸网络域名生成算法 封禁大批顶级域名

赞 (0)

评论 0

评论前必须登录!

登陆 注册