This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Abuso de domínios. UE por gangues de malware continua apesar da notificação secretário

Filed Under: Featured, Malware, SophosLabs, Vulnerability

Bandeira da UE. Imagem da Shutterstock Um par de semanas atrás eu escrevi sobre como estava vendo um salto no número de registros de domínios maliciosos. ue , com o propósito de infectar os usuários através de drive-by downloads usando um kit de exploração.

Nesse post, eu levantei duas questões importantes:

  • Há algo mais que registradores poderia ou deveria ser feito para evitar que os bandidos que abusam de seus serviços?
  • Como forma eficaz, uma vez que as pessoas adequadas ter informado sobre o abuso, a atividade vai ser esnobado fora?

Também recebemos várias perguntas perguntando o quanto o abuso que estávamos vendo em. Locais da UE.

Neste post, vou dar uma olhada nos dados mais recentes e tentar responder a essas consultas.

Vamos começar com o quanto o abuso que têm sido historicamente vendo em sites. UE.

O gráfico abaixo mostra a contagem mensal de malware que temos bloqueado em aparelhos web de clientes ao longo do ano passado.

Isso mostra claramente um aumento de actividade em Novembro de 2012 (correspondente ao drive-by ataques descritos no artigo anterior ).

Ameaças hospedado. TLD bloqueado por Eletrodomésticos Web Sophos

Quando relatei esse abuso ao secretário, tive o cuidado de descrever como de curta duração nos domínios maliciosos UE são.:

Pelo que tenho visto até agora, esses nomes de domínio são apenas brevemente "vivo" em termos de resolução de DNS, antes de mudar para o nome da máquina seguinte.

Novos domínios estão sendo abusada a cada dia, para que eu estaria interessado em você, se você é capaz de usar as características dos registros acima de detectar novos maliciosos que você provavelmente vai ver nos próximos dias.

Como observado anteriormente, havia alguma ligação curioso finlandesa entre todos os detalhes de registrantes utilizados. Fiz questão de incluir esses detalhes (com exemplos) no meu relatório de abuso também. Não esquecendo o fato de que os domínios parecem estar sempre 6 caracteres.

Assim, apesar de tudo, eu sinto havia informação suficiente desde a colocar em prática algumas verificações para beliscar essa atividade pela raiz. Ou, no mínimo, forçar os atacantes para mudar seu modus operandi.

A resposta que eu tinha na sequência do relatório abuso era felizmente de um ser humano, não uma resposta automática.

No entanto, foi breve, e não me convencer de que eles estavam indo para fazer mais nada do que barrar os domínios exemplo, eu tinha fornecido com (todos os que já estavam inativos e inofensivo até então).

Olhando para os dados mais recentes parece apoiar esse medo.

Pouco mudou. O volume diário de presente ( Blackhole derivados ?) exploit kit "Cool" parece ter mudado pouco desde a minha denúncia de abuso.

Volume diário de CoolEK exploit kit bloqueado em terminais de clientes

Espiando as informações WHOIS para um par de domínios recentes, podemos ver a conexão finlandês ainda está em uso, como é o endereço de e-mail do Yahoo!.

WHOIS detalhes de registro

WHOIS detalhes de registro

O "O que você faz para ajudar a interromper ataques e conseguir coisas ruins offline?" questão é que o pessoal tem que SophosLabs campo regularmente.

Não há bala de prata, mas o compartilhamento de informações entre as organizações melhor é claramente uma parte importante do que precisa acontecer.

No entanto, como este caso ilustra, uma compreensão adequada das informações e usá-lo em algum sentido também é necessário.

Eu entrarei em contato novamente robô de Domínio, o secretário com sede na Alemanha que tem sido explorado, neste caso, e tentar explicar de forma mais clara sobre o que está acontecendo. Esperemos, então, algo pode ser feito para impedir os ataques.

Aqui está esperando.

Bandeira da UE imagem do Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.