103 views

恶意软件作为表演艺术?OpenDNS展示了Cryptolocker的危险“舞蹈

By | 2019年1月29日

到目前为止,几乎每个信息安全专业人员和成千上万的不幸受害者都知道CryptoLocker,这是一种危险的恶意软件,可以加密所有受害者的文件,并持有他们的赎金。安全专家表示,删除恶意软件本身相对容易,但如果没有犯罪者持有的密钥,整个文件系统无法解密,就会造成损害。CryptoLocker被称为“进化”,因为恶意软件已经成为其为攻击者获取资金的使命非常成功,因此我们未来可能会看到更多这种性质的攻击。

OpenDNS的是一家能够识别并阻止CryptoLocker感染其客户的公司。OpenDNS运行DNS查找服务,该服务仅阻止试图进入恶意站点的流量。该公司使用预测分析来了解要阻止的网站。

在对尚未被识别为CryptoLocker的恶意软件活动进行初步分析时,OpenDNS使用自行开发的可视化工具来观察DNS记录与攻击进展之间的关系。必看的结果是OpenDNS所谓的“涟漪效应”,但我称之为“舞蹈”。看看当OpenDNS绘制恶意软件的关系并将活动设置为音乐时会发生什么。

OpenDNS首席技术官Dan Hubbard解释了他的公司如何能够如此快速地检测到CryptoLocker。“有两个组件帮助我们了解这个特定的恶意软件,”哈伯德说。“我们有一个通用算法,允许我们查看域的组成,以了解它是由计算机实时创建还是由人类创建。这被称为域生成算法或DGA。CryptoLocker使用DGA一直创建新的域名 – 每天都有一千个域名。“

“从那里我们查看了所有这些未知计算机生成域的流量,我们观察到客户端都进入了其他相似的域,”Hubbard说。“假设我们有50个人去了一个域名,这个域名是一个有问题的域名,但所有50个域名也会转到另一组与同一个原始域名相关的20,30,50或100个域名。这就是我们在可视化视频中展示的内容。您可以查看所有访问所有不同域的客户端的查找,以获取加密密钥来加密受害者PC上的数据。

换句话说,这不是正常行为,只能被认为是可疑的。恶意软件域的构成不是人或企业注册的东西。进入原始域的用户以及OpenDNS预测的所有后续域的流量不是常规模式。Hubbard解释说,“用户不会在一秒半内到达1000个域,随后在世界各地的不同地点实时地反复进行。然后让另一个人在地球上的其他地方做同样的行为 – 这种情况在好的情况下不会发生。这是恶意软件的关键指标。“

是的,它是恶意软件,它的功能真的很难看,但OpenDNS创建的可视化几乎就是表现艺术。

发表评论

电子邮件地址不会被公开。 必填项已用*标注