UE domínio abuso, cortesia do exploit kit Blackhole

EU. Image from Shutterstock Acompanhamento de atividade maliciosa é uma parte crucial do que SophosLabs fazer cada dia.

Rastreamento das ameaças nos dá visibilidade de como os computadores estão sendo infectado e em que as ameaças estão realmente vindo.

Os dados coletados são usados ​​para conduzir algumas das tecnologias de filtragem de reputação que os nossos produtos oferecem, a fim de manter os clientes Sophos é seguro.

Os dados também permite que nos permite detectar novos truques, técnicas ou táticas sendo usadas pelos atacantes. Por exemplo, temos observado recentemente uma série de. UE abuso de registro de domínios.

Vários domínios maliciosos. Ue foram registrados em novembro que estão sendo usados ​​para infectar computadores com malware através do exploit kit Blackhole . Aqui estão alguns exemplos:

owzshm.eu
mpxuth.eu
ngpsjy.eu
wlwhhz.eu
jhzopj.eu
jqwwgm.eu
pmgugq.eu
jkiwhy.eu
nrxpxq.eu
vjtjpy.eu
xzjvhs.eu
xipuww.eu
kngipu.eu
ptkqzo.eu
pyrhox.eu

Os domínios resolver tudo para o mesmo endereço IP, um servidor localizado na República Checa.

Eles são de curta duração, os nomes só resolver para o servidor de destino por um breve período antes de os atacantes passar para o próximo.

Este tipo de tática é muito comum, usado por muitas ameaças em suas tentativas de escapar filtragem de segurança.

Normalmente, no entanto, é um outro TLDs ue. Que são abusadas.

Cavando um pouco mais na informação WHOIS para estes registros revela algumas observações interessantes. Uma conexão finlandesa de facto, com base nos dados fornecidos registando.

Podemos voltar mais alguns meses, e ver uma série similar de atividade, mais uma vez utilizado para Blackhole hospedagem, mas na. Em domínios.

zjmnwv.in
yyssyr.in
wkhmyk.in
hwhjgj.in

Como você pode ver, os nomes de domínio siga o mesmo de 6 caracteres, padrão aparentemente aleatório.

Olhando para as informações WHOIS para alguns destes novamente joga-se a nossa ligação finlandês!

E adivinha o que? Quando ativo, estes. Resolvidos em nomes de domínio para o endereço IP mesmo como acima!

E o que dizer desse endereço IP? Ela tem algo de uma longa história de atividade questionável, estendendo-se por vários meses. Atualmente, abriga mais de 100 domínios, cuja finalidade varia de gateways pornográficos site (referenciado no spam) por meio de explorar sites.

Este episódio levanta uma questão importante. Há algo mais que registradores poderia ou deveria ser feito para evitar que os bandidos que abusam de seus serviços?

Algumas das técnicas mesmos que usamos para juntar os pontos entre os dados, ligando ataques e destacando a atividade maliciosa poderia ser muito útil para os registradores que tentam bloquear a atividade maliciosa antes.

A história nos diz que o nome da autoridade europeia de domínio, EURid , não são estranhos para uma ação decisiva quando se trata de proteger a reputação do TLD.

Eu relatei a onda atual de abuso para as pessoas apropriadas, assim que o tempo vai dizer como efetivamente eles podem esnobar essa atividade.

. UE domínio imagem do Shutterstock.