Artikel top billede

Nye webangreb bruger botnet-teknikker

Hackere er nu begyndt at anvende teknikker til at danne domænenavne for at forlænge webbaserede angrebs levetid, advarer eksperter fra Symantec.

Computerworld News Service: Hackere er begyndt at anvende teknikker til at danne domænenavne, som normalt bruges af botnet-malware, for at forlænge deres webbaserede angrebs levetid, advarer sikkerhedseksperter fra antivirus-leverandøren Symantec.

Sådanne teknikker til dannelsen af domænenavne er for nylig blevet observeret i forbindelse med en række driveby-download-angreb, der har brugt hackerværktøjet Black Hole til at inficere webbrugere med malware, når de besøger kompromitterede websites, forklarer sikkerhedsanalytiker Nick Johnston fra Symantec.

Driveby-download-angreb skyder skadelige kode ind på kompromitterede websites og omdirigerer på den måde de uvidende besøgende til eksterne domæner, der er værter for angrebsværktøjer såsom Black Hole. Dette gøres normalt ved hjælp af en skjult iframe, der er et html-tag.

Hackerværktøjet tjekker herefter om de besøgendes browsere indeholder sårbarheder. Hvis der opdages en sårbarhed indlæses den relevante angrebskode og malwaren installeres.

Sådanne webangreb har som regel en kort levetid, fordi der er masser af sikkerhedsanalytikere, der samarbejder med leverandører af webhosting og internetudbydere om at lukke disse skadelige websites ned og opsige de misbrugte domæner.

Lignende tiltag bruges i kampen mod botnettenes command and control-serverne og derfor har hackerne udviklet metoder, der gør det muligt for dem efterfølgende at genvinde kontrollen over allerede inficerede computere.

Indtil 7. august

En af disse metoder involverer, at botnet-malwaren opretter forbindelse til nye domænenavne, der dannes på daglig basis ud fra en særlig algoritme, i det tilfælde at de primære command and control-serverne ikke længere er tilgængelige.

Og det er denne teknik, der nu også anvendes i Black Hole-angreb. Domænenavnene i de url'er, der indlæses af de skjulte iframes, skifter fra dag til dag og dannes af en datoafhængig algoritme.

Angriberne har registreret alle de domæner, som denne algoritme vil generere indtil 7. august, for at sikre sig at deres angreb fungerer indtil den dato, uden at det bliver nødvendigt at ændre i den skadelige kode, der skydes ind på de kompromitterede websites.

"Indtil videre har vi observeret en lille men lind strøm af kompromitterede domæner, der anvender denne teknik," fortæller analytikerne fra Symantec.

"Det kan være et tegn på, at dette er en form for test eller et pilotprojekt, der måske vil blive udvidet på et senere tidspunkt."

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere