安全研究人员他们说本周将详细介绍一个原型系统可以更好地发现所谓的域名一代——(DGA)建立僵尸网络如Conficker和巨妖没有通常的劳动,和长时间的逆向工程需要找到并击败这样的恶意软件。
检测系统,叫昴宿星团,监控流量低于本地DNS服务器,分析流不成功的DNS决议,据佐治亚大学和佐治亚理工学院将一篇论文在昴宿星团在本周的Usenix安全会议在贝尔维尤,佤邦。这个想法是为了检测其处理程序可以改变这样的恶意软件,加密或隐藏它。
更多:奇怪,奇怪、最酷的sci /科技的故事2012(到目前为止)
下面“昴宿星放置当地边缘的递归域名服务器或网络监视DNS查询/响应消息从/到机器内的网络。具体来说,昴宿星团分析DNS查询域名,导致名称错误响应,也称为NXDOMAIN反应,即。,域名的IP地址(或其他资源记录)存在。关注NXDomains是现代DGA机器人往往出于这一事实查询域名其中相对较少的大集合成功解决指挥和控制服务器的IP地址,”研究人员表示。“自动识别DGA域名,昴宿星团的NXDomains搜索相对较大的集群相似的句法特征,并查询由多个潜在受损机器在一个给定的时代。”
研究人员说,昴宿星团是能够自动识别和过滤的“意外”,用户生成NXDomains由于mis-configurations或输入错误。“当昴宿星发现一群NXDomains统计学习技术适用于构建DGA的典范。这是未来使用后检测受损机器运行相同的DGA和检测活动的域名“类似”NXDomains造成DGA因此可能指向僵尸网络命令和控制”服务器的地址。
研究人员称他们部署和评估昴宿星原型在大型生产ISP网络一段15个月。“我们的实验发现了12个新的DGA-based僵尸网络和枚举损害机器。一半的这些新启动从未报道过。”
在这15个月(2010年到2012年)的一部分我们的观察我们观察到平均742人口Conficker感染主机的ISP网络。臭名昭著的Conficker蠕虫是一种最积极的恶意软件对域名的一代。“C”产生的变异虫每天50000域。然而,conficker c只查询500个域每24小时。在旧版本的蠕虫,A和B,蠕虫骑车通过域的列表每三两个小时,分别研究人员表示。
Murofet感染宿主的第二大人口92,而位于第三位的是Boonana DGA平均每天84人口感染宿主。增长最快的DGA是宙斯v3每天平均人口50主机,然而,在过去的四天的实验宙斯。v3 DGA平均134感染主机的数量。值得注意的是研究人员所谓的不明身份的“New-DGA-v1”平均每天19主机,新发现的启动的最多。
研究人员指出,昴宿星团有一些局限性。例如,一旦发现新的DGA,昴宿星团可以构建相当精确的统计模型生成的域DGA“样子”,但它是无法学习或重建的域生成算法。因此,昴宿星团将产生一定数量的假阳性和假阴性,研究人员指出。
按照迈克尔·库尼在Twitter上:nwwlayer8和脸谱网
层8额外
看看这些其他热的故事:
传感器使用身体安全设备的电子签名
NASA将$ 1.1 b三个商业宇宙飞船
亚轨道太空旅行会爆炸吗?这取决于
面对漏洞,恶意软件,肆无忌惮的用户,我们需要更新在线隐私保护
橡树岭实验室软件得到无线之间进退两难的位置
情报局:五个特别的技巧从简单的破坏战地手册
我们花费3000万美元来加强天然气汽车技术
想成为智力世界的一部分吗?美国国防部高级研究计划局软件项目为你
20马赫和超越?DARPA项目发展高超声速飞行器