Poznámka o hardcoded IP adresách v malwaru je relevantní a použití hardcoded adres samozřejmě znemožní detekci na úrovni DNS překladu.
Při návrhu služby jsme ale vzali v potaz několik fází životního cyklu malwaru (exploitace, stažení těla malwaru, komunikace s c&c serverem) a pro malware může být fatální přerušení kterékoliv z nich, čímž se pravděpodobnost zapojení DNS výrazně zvyšuje.
Ruku v ruce s tím jdou studie, které potvrzují nárůst využití doménových jmen oproti hardcoded IP (bohužel se mi nepodařilo dohledat konkrétní čísla, která by to dokládala jasněji). Důvody tvůrců malwaru jsou zřejmé, mít větší možnost s vlastní infrastrukturou pohybovat a udržet tak své dílo déle naživu.
https://www.damballa.com/identifying-parking-ip-infrastructure-understanding-malware-evolution-and-the-implications-on-data-modeling/
http://anubis.seclab.tuwien.ac.at/papers/squeeze_acsac11.pdf
Do využití doménových jmen tlačí tvůrce malwaru i aktuální trend endpoint bezpečnostních řešení a sandboxů, které při vyhodnocování chování potenciálního malwaru sledují i to, zda se proces připojuje na konkrétní IP, aniž by si ji předem přeložil skrze DNS.
Robert Šefr
https://whalebone.io/
IMHO, myslim, ze to moc fungovat nebude. Plno mlawaru jde na pevne IPcka, a pak je DNS subsytem vynechany. Muze to pomoct pro filtraci "nevhodneho" obsahu na webu, ale vice se ocekavat neda. A i toto je s otaznikem, protoze neni uvedeno, jakou metodou se zjistuji "nevhodne" domeny. Taky to uz nerozlisuje, jestli neco zavadneho se stahuje ze server na kterem je z 99.9% validni obsah. Prikladem muze byt ulozeny
malware na nejakem ulozisti. System umi blokovat bud cele uloziste, nebo pustit vse, rozhodne neumi blokovat jednotlive web stranky.
Honza
ČLÁNKY DO MAILU