DNS как канал передачи данных от вредоносного ПО
Исследователи безопасности из компании Cisco обратили внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций DNS-резолвинга специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях или номерах кредитных карт иди информировать о поражении новой системы выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com, в которых при помощи формата base64 в имени поддомена закодированы передаваемые на управляющий сервер данные.
Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. При этом механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различны межсетевые экраны, вовлекая местные DNS-резолверы в распространение данных запросов. Администраторам локальных сетей рекомендуется посмотреть лог запросов на подконтрольных DNS-серверах - наличие в логе попыток резолвинга подозрительных длинных имен может стать индикатором наличия пораженных вредоносным ПО систем в локальной сети.
