Pillole di #MalwareAnalysis
Nella pillola precedente ho parlato del #DAG (domain algorithm generation) e ho detto che insieme alle tecniche di fluxing permette di proteggere il #Master di una #botnet.
Le tacniche di fluxing sono due: il #singleFlux ed il #doubleFlux.
Nel single flux nel server dns autoritativo viene cambiato costantemente il record A che associa il dominio da contattare (quello del #botmaster) all’ip.
Ogni vola che nel dns viene registrata un’associazione tra Dominio ed IP viene fatto con un TTL (time to live) estremamente basso. Questa associazione viene richiesta dagli #zombie della botnet, ed alla scadenza un nuovo zombie si registra. Il risultato è un ip associato al dominio in continua variazione.
Se a questo associamo che grazie al DAG anche il nome di dominio cambia costantemente si capisce come diventi difficile individuare i botmaster e spegnere una botnet.
#cybersecurity #malware #zeroday #hacker