Principal » Internet » Știri în viruși. Curând DNS-supra-https va declanșa o mulțime de probleme

Știri în viruși. Curând DNS-supra-https va declanșa o mulțime de probleme

Internet : Știri în viruși. Curând DNS-supra-https va declanșa o mulțime de probleme

Noi compilații de Windows 10 prezente în canalul de previzualizare Insider conțin client DNS încorporat în clientul DNS-Over-HTTPS. Acesta este un protocol controversat, datorită îndoielilor că se ridică potențialul centralizării operatorilor de servere a spațiului de nume. Nici o problemă mai mică care cauzează dezaprobarea administratorilor, generează un trafic substanțial indistinguizabil de mișcarea tipică https, astfel încât gestionarea DNS pe stațiile din rețea devine mai dificilă. Această caracteristică pare să utilizeze creatori de viruși.

Protecția LAN-urilor extinse de viruși nu implică numai cu privire la utilizarea de software antivirus pe sfaturi. Anti-virușii sunt adesea inutili în legătură cu noi amenințări și câștigă "rezistență " numai atunci când este prea târziu. Prin urmare, în afară de scanerele antivirus, sunt utilizate și analiza traficului de rețea și auditarea stațiilor de lucru. Dacă malware 'u nu găsește antivirus, poate prezența ei arată solicitări de descărcare a fișierelor din Kazahstan, după adresele date sub formă de IP. Alternativ, aceștia vor face bușteni din explozia activării proceselor "DFZLKHGTDD.Exe "drenat de la Rundll32.

Nu există definiții și comportamente

În acest fel, puteți să aderați pentru a asigura rețelei împotriva amenințărilor înainte ca antivirusurile să ofere protecție împotriva lor. Listele de adrese IP ale serverelor de distribuție a virușilor sunt blocate pe firewall, iar procesele suspecte de procese și / sau căi de cale sunt căutate pentru jurnale pentru a detecta urme de infecție. Prin urmare, creatorii de viruși trebuie să fie din ce în ce mai mult și să aplice trucuri complicate atunci când rulează payloopul lor. Windows, din păcate, oferă o duzină de metode de pornire a unui proces ciudat, dintre care unele sunt erori de design evident, care nu încalcă niciodată remedierile de la producător.

Este important nu numai ceea ce fugim, dar și cum ar fi

Acesta este motivul pentru care nu numai protecția antivirus este atât de importantă, dar și posibilitatea identificării fără ambiguitate în jurnale, care este o activitate dăunătoare și ce "normal ". Când granița dintre ele devine neclară, virușii pot rămâne nedetectați pentru o lungă perioadă de timp. DNS-Over-HTTPS se dovedește a fi foarte utile în activitatea ascunde malware-ului lui „U și de a facilita eliberarea de servere de control al virusului, care permite o supraviețuire mai lungă de campanie.

Servere dinamice CNC

Cum funcționează? După cum a raportat de către huntress LABS, o variantă de virusuri care nu se aplică listelor de adrese IP rigide (acestea sunt cunoscute cercetătorilor și sunt blocate pe firewall-uri companii) sau liste de adrese DNS (aici în mod similar: IP va deveni mai dinamice, dar domenii nu și, de asemenea vor fi blocate). În schimb, acesta pizes serverul DNS Google pentru a primi o listă de adrese IP alocate unui domeniu rău intenționat.

Mișcarea DNS poate fi examinată, cu condiția să nu fie un drept de sine

Care este diferența? Un astfel de virus nu închide serverul DNS cu un domeniu rău intenționat (generând un logger), numai puzzle-ul Google 'A, prin trimiterea unei interogări la serverul de rezolvare.Google.COM. Deși noul Windows 10 are un client DOH, virusul va trimite singur o interogare, fără a utiliza sistemul de operare. Interogarea creată de dvs. nu este diferită de acest sistem. Cu o singură excepție: nu utilizează cache-ul și nu generează un logo în categoria Pitch DNS. Din punctul de vedere al urmăririi evenimentului, acesta este unul dintre numeroasele interogări către Google, care în rețeaua sute.

Pe harul vânzătorilor

Cu toate acestea, atunci când virusul rezolvă adresa IP a centrului dvs. de comandă utilizând doul solicitat înainte de jurnale sau nu vom fi în același loc ca și virușii anteriori? Nu contează modul în care au fost dobândite adrese IP, puteți introduce-le pe o listă neagră, în cazul în care nu? Teoretic, da, dar datorită utilizării Doh, lista IP malignei poate fi schimbată mai des, astfel încât listele negre vor fi actuale mai scurte. Pentru că nu puteți bloca domeniul DNS, nu puteți bloca mișcarea la Google, iar IP va fi nemaiauzită pe literele negre, singura speranță este exproprierea domeniului.

Având în vedere cât de dificil este de a solicita un super-ieftine „tarabe cu domenii “ pentru a coopera în domeniul ABUZ, o nouă metodă de rezolvare a adreselor se poate dovedi a fi o facilitare mare pentru creatorii de malware „u. Testarea securității stațiilor de lucru a fost doar mai dificilă.

Programe

Actualizări. Actualizări de știri. Vezi mai multe> Securitate software.pro

Recomandat
Lasă Un Comentariu