Locky勒索软件是如何利用DGA的?

日期:2016-8-2作者:Nick Lewis翻译:邹铮来源:TechTarget中国 英文

Locky   勒索软件   恶意软件   Dridex   

【TechTarget中国原创】

安全研究人员指出,名为Locky的新型勒索软件借鉴了Dridex银行恶意软件的技术。那么,什么是Dridex恶意软件技术,Locky与其他类型的勒索软件有何不同之处?

Nick Lewis:Locky勒索软件在不断改进其攻击能力,Fortinet公司称他们在该恶意软件的最新版本中发现了这种改进。Locky勒索软件加入域名生成算法来提高命令控制(C&C)通信的灵活性,Locky还对C&C进行了更新,其通信会进行稍微加密以防止网络分析。增加这一功能需要恶意软件编写者付出极大的努力。考虑到该恶意软件会定期增加新的攻击技术,这可能意味着这是经验丰富的网络罪犯,而不是低技术含量的黑客干的。

Locky勒索软件似乎是从Dridex恶意软件借鉴了域名生成算法(DGA)的做法。DGA利用受感染机器的年、月、日以及seed值,让其可预测Locky将注册的域名,并提前攻击这些域名。Forcepoint Security实验室的研究人员分析了Locky勒索软件的最新样本,其中包含显著改善的DGA而没有以前的缺陷。

尽管Locky勒索软件已经增加DGA功能,它仍然保留了后备IP地址用于僵尸网络的C&C。C&C加密通信已被Fortinet攻破,可在网络中被检测出来。Fortinet已经发布该C&C系统的攻击指标,并建议当这些文件还没有被加密时企业应检查本地计算机以确定系统是否被感染。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。

病毒/蠕虫/恶意软件>更多

相关推荐

技术手册>更多

  • Linux服务器安全技巧及工具总结

    Linux的安全性是企业构筑安全应用的重中之重,本技术手册介绍了Linux服务器安全的技巧和工具。

  • 构建DMZ 保护网络安全

    DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 内部威胁管理

    由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的ACFE的记录,企业每年因诈骗而受到的损失大约在6520亿美元。不幸的是,内部威胁不只是诈骗,还要考虑到怠工,懒散,人为误差和外部的利用。如果你还没有认真审视过你的组织内部威胁管理,那么现在就应该看看了。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算