Visite: BR-Linux ·  VivaOLinux ·  LinuxSecurity ·  Dicas-L ·  NoticiasLinux ·  SoftwareLivre.org

  • Trojan Usa Sistema Anti-Spam para Manter Contato com Servidores C & C

    A maioria dos tipos de malware acaba sendo severamente detectada, identificada e eliminada caso não possa contactar os servidores C & C (comando e controle), de onde recebem as instruções e atualizações para que suas atividades possam ser colocadas em prática. Dessa forma, os responsáveis pelo desenvolvimento dessas pragas estão sempre chegando com novas maneiras de frustrar os firewalls, sistemas de prevenção de intrusão e gateways, para impedí-los de bloquear a comunicação.

    A mais recente inovação neste "campo" particular, tem sido estudada e gradativamente descoberta por Takashi Katsuki, pesquisador da Symantec, que recentemente descobriu um trojan que usa Sender Policy Framework (SPF) para manter uma ótima conexão entre o malware e servidores C & C. Ironicamente, o SPF é um sistema de validação de e-mail projetado para detectar e falsificar e-mail e, assim, incluindo também as práticas de spam.


    De acordo com as explicações de Katsuki, "SPF consiste em um DNS de solicitação e resposta. Se o servidor DNS do remetente estiver configurado para usar o SPF, a resposta do DNS irá conter o SPF em um texto registro (TXT)". "O ponto de partida para o autor do malware é que os domínios ou endereços IP no SPF podem ser obtidos a partir de um pedido de DNS, e este pedido não precisa ser feito a partir de um computador diretamente. Geralmente, o servidor DNS local é usado como um servidor de cache DNS".

    Ao enviar um pedido de DNS para o servidor dos atacantes com um domínio gerado que tem um TDL .com ou .net, o trojan, apelidado de Spachanel, recebe de volta uma resposta com um registro SPF que contém domínios maliciosos ou endereços IP. O pesquisador especula que isso seja feito assim porque o atacante quer esconder a comunicação em consultas a DNS legítimos.

    "Se o malware estabelece uma conexão com o servidor do invasor por outro número de porta utilizando o protocolo original, esse processo pode ser filtrado através de uma firewall, gateway ou ou bloqueado por um sistema de prevenção de intrusão (IPS). Em alguns casos, os domínios específicos são bloqueados por um servidor DNS local, mas este malware gera um domínio que raramente é filtrado", explica o especialista.

    Além disso, as solicitações de DNS são, geralmente, enviadas diretamente. De um modo geral, existe um servidor de cache de DNS na rede principal ou no ISP, o que torna difícil para um firewall realizar o processo de filtragem. Portanto, esta é a tentativa do atacante para manter uma solidez na conexão entre o malware e servidor do atacante.

    Portanto, além desta estratégia de comunicação mencionada, as metas do trojan são bastante comum. Elas são infiltradas no processo de navegação, e injeta tags (JavaScript) onde propagandas são carregadas em cada página HTML, com a finalidade de ganhar dinheiro para o atacante, através de cliques e veiculação de vendas de software de segurança falso.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/malware_news.php?id=2387

    Destaques do Under-Linux:



    Sobre o Autor: Camilla Lemke

    Redatora do Portal Under-Linux.Org, com ênfase em Distribuições Linux, Análise Forense Computacional, Testes de Invasão, Auditoria de Redes e Sistemas. Atuante como Analista e Gerente de Finanças.