Pro úspěch některé havěti je stěžejní komunikace s command & control (C&C) servery, přes které vede komunikaci se svým „páníčkem“ – útočníkem. Útočník zasílá havěti skrze C&C instrukce a ta je pak vykonává. Příkladem mohou být odkazy na další součásti havěti, které jsou na povel staženy a spuštěny. Laicky řečeno, havěť tam prostě čeká na další rozkazy.

Mrtvý C&C = mrtvá havěť

Pokud je takový C&C server zlikvidován, obvykle to pro havěť znamená konec života. Připomeňme, že instrukce mohou být uloženy třeba na odkazu http://utocnikova_stranka.cz/instrukce.txt (smyšlený příklad). Pokud se havěť využívající tento odkaz dostane do povědomí antivirových společností či státních úřadů, obvykle zajistí zablokování webhostingu pro takovou doménu a tedy i nedostupnost odkazu.

Pojďme se proto podívat na speciální případy C&C serverů, které se snaží tento „problém“ řešit a zajistit tak delší životnost havěti. Některé z nich:

DGA – Domain Generating Algorithm

V tomto případě má v sobě havěť zabudovaný algoritmus, který podle definovaného klíče vygeneruje řekněmě 200 názvů domén každý den. Tyto názvy mohou být na první pohled náhodné, ale přitom je tam jasně popsatelná logika a není tak problém už nyní říci, o jakých že 200 názvů půjde například za 10 dní. Pokud to hodně zjednoduším, příkladem mohou být „náhodné“ názvy domén:

moje2019-06-12a.cz, moje2019-06-12b.cz, moje2019-06-12c.cz, moje2019-06-12d.cz, …

Tak bych mohl dojít třeba až k těm 200 názvům pro den 12.6.2019.

Zároveň díky logice už teď vím, že pro den 22.6.2019 by šlo o názvy domén:

moje2019-06-22a.cz, moje2019-06-22b.cz, moje2019-06-22c.cz, moje2019-06-22d.cz, …

Úspěch je zajištěn, pokud stejnou logiku jako havěť, zná i útočník. Havěť se tak snaží každý den z této sady domén (v příkladě 200) stáhnout instrukce a pokud útočník potřebuje nějaké instrukce zaslat, stačí mu zaregistrovat a oživit POUZE JEDNU z této sady domén. Než takovou doménu, resp. webhosting odstaví úřady, dávno již není potřeba, neboť tu máme další sadu domén pro následující den. Zároveň není v silách nikoho, kupovat předem 200 domén denně a vyfouknout je tak útočníkovi.

Účty na sociálních sítích

Útočníci a havět si mohou vyměňovat instrukce i skrze komentáře na Twitteru či Instagramu. Ideální je k tomu využít účtů známých osobností, které asi jen tak někdo nevypne.

Třeba v roce 2017 byla popsána havěť, kde byly instrukce uloženy na oficiálním Instagram účtu Britney Spears, právě ve formě komentáře. Ten nebyl na první pohled až tak divný, přesto ale splňoval vstupní kritéria, aby si ho havěť všimla. Netisknutelné znaky a použití regulárního výrazu nakonec z nevinného textu vykouzlilo odkaz http://bit.ly/2kdhuHX!

Závěr

K sepsání článku mě dovedla novinka z bleepingcomputer.com, která s výše uvedeným poněkud souvisí. Útočníci si tam sice nezajistili delší životnost havěti, ale instrukce si pro změnu ukládají do TXT záznamu v DNS domény. A aby se jim tyto instrukce jednoduše četli, využívají k tomu službu od Google, konkrétně DNS Resolver, která jim to krásně naservíruje přesně v podobě, která se jim hodí (JSON)…

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..