Adresy serwerów są zaszyte w samym złośliwym oprogramowaniu

Wiele wirusów komputerowych takich jak na przykład ZeuS musi kontaktować się z serwerem, aby skutecznie kraść nasze dane lub zyskiwać dostęp do innych komputerów.

– Ta sytuacja sprawia, że haker ma spory problem – mówi Łukasz Nowatkowski Dyrektor IT G Data Software – W momencie kiedy serwer „obsługujący” wirusa zostanie wyłączony lub przejęty przestępca traci kontrolę nad wszystkimi zainfekowanymi urządzeniami.

Czy więc haker jest łatwy do zatrzymania? Jeśli nikt nie wiedziałby, z którym serwerem dany typ złośliwego oprogramowania się kontaktuje, wtedy cyberprzestępca byłby nie do zatrzymania. Tu pojawia się DGA – Domain Generating Algorithms. Algorytm ten automatycznie wybiera adres internetowy i może to robić raz na dzień lub kilkanaście razy na godzinę.

– W takim wypadku jedyne co musi zrobić haker, to zarejestrować wybrane domeny i połączyć je ze stworzony przez siebie wirusem – mówi Nowatkowski – Stosując DGA możemy zarejestrować setki takich domen i pozornie czuć się bezkarni. Jeśli np. władze danego kraju lub firma wyłączą jeden serwer, wirus łączy się z kolejnym i tak dalej.

Czy więc jesteśmy zgubieni?

– Oczywiście, że nie – dodaje Nowatkowski – Każdy algorytm działa w określony sposób. Jeśli działanie jest powtarzalne, można mu przeciwdziałać. Jeśli specjaliści będą mogli analizować ruch w sieci, który generuje dane zagrożenie, będą mogli z dużą dozą prawdopodobieństwa określić czy dana domena jest produktem DGA czy nie.

Jak możemy rozpoznać takie domeny? Bardzo często ich nazwy bazują na tzw. Literówkach. Zamiast Google.pl, mamy gooole.pl. Każdy z nas prawdopodobnie tysiące razy pomylił się wpisując dany adres internetowy.

Czy jak przypadkowo wejdę na taką stronę to dalej rozprzestrzeniam nieświadomie wirusa?

– Zwykły użytkownik internetu nie jest wstanie rozpoznać takich domen – mówią eksperci G DATA – Obecnie rozważane jest wprowadzenie rozwiązań prawnych, które będą zmuszały do rejestrowania domen, które zostały „stworzone” przez DGA. Rodzi to jednak wiele wątpliwości. Może to sprawić, że haker zorientuje się, że ktoś go śledzi i wprowadzi zmiany w algorytmie i cała zabawa zacznie się od początku.

Widzimy więc, że relacja ekspert bezpieczeństwa – haker wygląda jak wieczna pogoń za króliczkiem.

– Temat ten przywołuje ostatnią aktywność wirusa WannaCry, który został unieszkodliwiony dzięki zarejestrowaniu domeny przez Marcusa Hutchinsa. Tym samym unieszkodliwił on zagrożenie – mówi Łukasz Nowatkowski. Takie sytuacje jednak nie będą zdarzać się często, musimy więc pracować ciągle nad bardziej efektywnymi metodami śledzenia ruchu w Internecie, a nie tylko skupianiu się na tym aby walczyć z już zainfekowanymi maszynami. To może postawić nas w innej sytuacji, ponieważ da nam szansę wyprzedzić ruchy hakera.

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...