ارائه دهندگان بدافزارها (Malware) با تغییر نام دامینها و وارد نمودن Host Nameهای غیر مخرب در فیلد HTTP Host، از سیستمهای امنیتی تحت وب عبور میکنند.
طبق هشدار محققان شرکت Cyren، فعالان حوزهی بدافزار به روش جدیدی دست پیدا کردهاند که تضمین میکند سرورهای Command and Control یا به اختصار C&C، از طریق سیستمهای امنیتی Block نمیشوند.
این تکنیک جدید با نام Ghost Host شناخته میشود که شامل وارد نمودن Host Nameهای ناشناختهای در فیلدهای HTTP Host مربوط به باتنتها میباشد. شرکتCyren اخیرا گزارش نمود: با استفاده از اسامی ثبت شده و ثبت نشده که این تکنیک از آنها استفاده مینماید، سیستمهای امنیتی تحت وب و فیلترینگ URL فریب میخورند.
برخی شرکتهای امنیتی دریافتند که یکی از مجموعه بدافزارهای استفاده کننده از این تکنیک، به اجرای Resolution DNS برای دامین www.djapp.info میپردازد که بعد از تشخیص مخرب بودن آن توسط این شرکتها موجب Block شدن این دامین شده است؛ بنابراین درخواستهای HTTP استفاده کننده از این دامین در شبکههای تحت حفاظت Vendorهای امنیتی آگاه از این موضوع مسدود میشود.
بعد از انجام DNS Resolution برای IP آدرس، محققان در حین آنالیز تراکنشِ C&C ارسال شده توسط باتهای آلوده جدید متوجه این مورد شدند که تراکنشهای HTTP سرورهای C&C را از آلودگی موفقیتآمیز یک دستگاه جدید نیز مطلع مینمایند.
به علاوه، محققان امنیتی دریافتند که IP سرور مقصد به عنوان یک سرور آلوده شناخته میشود و این در حالی است که فیلدهای HTTP Host مورد استفاده در درخواستها از دامینهای کاملا متفاوتی استفاده کردهاند. شرکت Cyren این دامنهها را با نام Ghost Host معرفی مینماید که در این مورد خاص دامینهای جعلی شامل دو دامین با نامهای Events.nzlvin.net و Json.nzlvin.net بوده است.
با استفاده از این تکنیک، فعالان حوزهی بدافزار اطمینان مییابند که ارتباط با سرور C&C همچنان برقرار میباشد و تنها درخواستهای استفاده کننده از دامین تعیین شدهی اصلی Block میشود، در حالی که درخواستهایی که از Ghost Hostnameها استفاده مینمایند به فعالیت خود ادامه میدهند. علاوه بر این، مالکان باتنتها قادر به دستکاری سرورها میباشند تا با استفاده از Hostnameهای مختلف در هنگام دریافت پیامهای کد شده به گونهای متفاوت پاسخ دهند. یکی از پاسخهای احتمالی میتواند هدایت نمودن بات، برای دانلود نوع خاصی از بدافزار باشد.
محققان امنیتی عنوان میکنند که IP آدرس مربوط به C&C URL معمولا Block نمیشود، به دلیل اینکه این سرور میتواند شامل هر دو نوع محتوای مجاز و مخرب باشد. در صورتی که IP سرور به طور کامل مسدود شود کاربران به سرویسهای مجاز این سرور نیز دسترسی نمییابند.
شرکتهای امنیتی پس از شناسایی دو دامین جعلی تصمیم گرفتند تا IP های مشکوک را مورد بررسی دقیق قرار داده و به سرعت فهرستی طولانی از Ghost Hostهای مرتبط با آنها را شناسایی نمایند. لازم به ذکر است که برخی از دامینها ثبت شده میباشند و همزمان با به وجود آمدن بدافزار ایجاد میشوند اما بسیاری از آنها ثبت نشدهاند.
با این وجود نرخ شناسایی مربوط به اسامی دامینهای جعلی همچنان پایین است؛ بدین معنا که فعالان در حوزه باتنت همچنان از تکنیک Ghost Host استفاده مینمایند، که این امر مانع شناسایی آنها میشود.
موسسه Cyren در پایان گزارش خود بیان نمود: Ghost Host، نمونهی دیگری از نحوه پدید آمدن تکنیکهای پیچیده فرار از جرم است و همچنین به عنوان یک نمونه عالی از اینکه چرا Vendorهای امنیتی اغلب از بهترین جایگاه برای محافظت سازمانها در مقابل افزایش ایجاد جرایم سایبری برخوردار هستند، میباشد.