This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

El abuso de la UE. Dominios por parte de bandas de malware continúa a pesar de la notificación Registrador

Filed Under: Featured, Malware, SophosLabs, Vulnerability

Bandera de la UE. Imagen de Shutterstock Hace un par de semanas escribí sobre la forma en que había estado viendo un aumento en el número de registros de dominios maliciosos. eu , con el fin de infectar a los usuarios a través de las descargas mediante un paquete de exploits.

En este post, me planteó dos preguntas importantes:

  • ¿Hay algo más que los Registradores pueden o deben hacer para prevenir los malos abusando de sus servicios?
  • ¿Con qué eficacia, una vez que las personas apropiadas han informado sobre el abuso, será la actividad que desairó a cabo?

También recibimos varias preguntas preguntando cuánto abuso que estábamos viendo en. Sitios de la UE.

En este post, voy a echar un vistazo a los últimos datos y tratar de responder a estas preguntas.

Vamos a empezar con la cantidad de abusos que históricamente hemos estado viendo en los sitios. Eu.

El siguiente gráfico muestra la cuenta mensual de malware que se han bloqueado en los aparatos web del cliente con respecto al año pasado.

Esto muestra claramente un aumento en la actividad en noviembre de 2012 (que corresponde a la unidad por ataques descritos en el artículo anterior ).

Amenazas alojado en. Eu bloqueado por Sophos Web Appliances

Cuando me informaron este abuso al Secretario, tuve la precaución de describir cómo de corta duración de los eu maliciosos.:

Por lo que he visto hasta ahora, estos nombres de dominio son sólo brevemente "vivo" en términos de resolución de DNS, antes de pasar al siguiente nombre de host.

Nuevos dominios están siendo abusados ​​cada día, así que me interesaría a usted si usted es capaz de utilizar las características de los registros anteriores para detectar nuevos los 'malos' que lo más probable es ver en los próximos días.

Como se ha señalado anteriormente, hubo alguna conexión entre curioso finlandés de todos los detalles del Registrante utilizados. Me aseguré de incluir estos detalles (con ejemplos) en mi reporte de abuso también. Sin olvidar el hecho de que los dominios parecen estar siempre 6 caracteres de longitud.

Así que, en definitiva, creo que hay suficiente información proporcionada a poner en marcha algunas comprobaciones para cortar esta actividad en la yema. O por lo menos, obligar a los atacantes a cambiar su modus operandi.

La respuesta que había tras el informe de abuso fue por suerte de un ser humano, no una respuesta automática.

Sin embargo, fue breve, y no me convenció de que iban a hacer nada más que lista negra de los dominios ejemplo que les había proporcionado (todos los cuales ya estaban inactivos e inofensivos para entonces).

En cuanto a los datos más recientes parecen apoyar este miedo.

Poco ha cambiado. El volumen diario de esta ( Blackhole derivados ?) kit "Cool" hazaña parece haber cambiado poco desde mi informe de abuso.

El volumen diario de paquete de exploits CoolEK bloqueado en los extremos de los clientes

Echar un vistazo a la información de WHOIS para un par de dominios recientes, podemos ver la conexión finlandés todavía está en uso, así como la dirección de correo electrónico de Yahoo!.

Registro WHOIS detalles

Registro WHOIS detalles

El "¿Qué hace usted para ayudar a interrumpir los ataques y conseguir cosas malas fuera de línea?" trata de una cuestión que el personal de SophosLabs tienen que alinear con regularidad.

No hay una bala de plata, pero mejor intercambio de información entre las organizaciones es claramente una parte importante de lo que tiene que suceder.

Sin embargo, como ilustra este caso, una comprensión adecuada de la información y usarla de una manera significativa es también necesaria.

Me pondré en contacto de nuevo Robot de dominio, el registrador con sede en Alemania que ha sido explotado en este caso, y tratar de explicar con mayor claridad acerca de lo que está sucediendo. Esperemos entonces, se puede hacer algo para frustrar los ataques.

Aquí está la esperanza.

Bandera de la UE imagen de Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.