Pillole di #MalwareAnalysis

Nella pillola   precedente ho parlato del #DAG (domain algorithm generation) e ho detto che   insieme alle tecniche di fluxing permette di proteggere il #Master di una   #botnet.

Le tacniche di fluxing sono due: il #singleFlux ed il #doubleFlux.

Nel single flux  nel server dns autoritativo viene cambiato costantemente il record A che associa   il dominio da contattare (quello del #botmaster) all’ip.

Ogni vola che nel dns   viene registrata un’associazione tra Dominio ed IP viene fatto con un TTL   (time to live) estremamente basso. Questa associazione viene richiesta dagli #zombie   della botnet, ed alla scadenza un nuovo zombie si registra. Il risultato è un   ip associato al dominio in continua variazione.

Se a questo associamo che   grazie al DAG anche il nome di dominio cambia costantemente si capisce come   diventi difficile individuare i botmaster e spegnere una botnet.

#cybersecurity   #malware #zeroday #hacker

Tweet