• Botnet GameOver Aumenta Utilização de DGAs

    No início deste ano, o Federal Bureau of Investigation realizou um trabalho de interrupção das atividades da botnet Gameover. Essa ruptura teve um efeito significativo sobre a escala referente à ameaça ZBOT, mas era improvável que os cybercriminosos não fossem responder de alguma forma. O uso de algoritmos de geração de domínio (DGAs), é uma parte fundamental do botnet Gameover, mas novas variantes como foi o caso do TROJ_ZBOT.YUYAQ, tornaram essa tática ainda mais poderosa.


    Mas, como exatamente esta variante pode usar esta técnica? Acontece que os domínios são baseadas nos resultados de um hash MD5 que é gerado pelo sistema. Os fatores que influenciam no cálculo do hash são dia / mês / ano atuais, valor embutido de 0 × 35190501 e "Tick ​​Count" (tempo considerado desde que o sistema foi iniciado). Aí vem outra pergunta: Como é que o malware gera um nome de domínio a partir deste valor de hash? Isto pode ser melhor demonstrado com a utilização de um valor de hash.

    Vamos supor que o valor do hash MD5 resultante seja 0xf1d73a971e50a68419c7f70764f34f1e. Isto pode ser dividido em "4-byte words": a partir do mais relevante para o menos relevante, estes seriam:


    • 0xf1d73a97
    • 0x1e50a684
    • 0x19c7f707
    • 0x64f34f1e


    Além de tudo isso, é muito importante observar que toda vez que este malware for executado, ele gera até 500 nomes de domínios distintos, com até 1.500 domínios únicos gerados por dia. Embora possa ser capaz de gerar este grande número de domínios, na prática, relativamente poucos são utilizados. Nesse contexto, foram encontradas apenas 23 domínios relacionados com esta variante específica do botnet Gameover. Mais de três quartos das vítimas desta variante estão localizadas nos Estados Unidos. Dessa forma, o "heat map" mostra a distribuição das vítimas em todo o mundo, com os círculos azuis mostrando onde os servidores C & C estão localizados, como consta na figura publicada nesta postagem.


    Saiba Mais:

    [1] Security Intelligence http://blog.trendmicro.com/trendlabs...on-algorithms/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L