Comment les logiciels malveillants utilisent-ils des domaines non enregistrés?
Je viens de finir de lire que le Wannadecryptor Malware était interrogé sur un domaine non enregistré. Je pensais qu'il se connectait à son commandement et à son serveur de contrôle. Est-ce correct?
Je crois comprendre que si un programme de tentative de tri pour se connecter à un serveur à un domaine non enregistré, la connexion échouera - en raison de la défaillance de la résolution de l'adresse IP. Est-ce exact? Si ce n'est pas le cas, comment l'adresse IP du domaine est-elle résolue? Ou je manque quelque chose?
Les logiciels malveillants ont-ils été communiquant avec le serveur de contrôle à l'aide d'un domaine non enregistré configuré? Si c'était le cas, comment était-il capable de ne pas utiliser l'enregistrement DNS pour la résolution de l'adresse IP?
Comme les deux précédents mentionnés, les logiciels malveillants ne se connectaient pas au nom de domaine non enregistré. Le domaine non enregistré était une technique censée être utilisée pour empêcher l'analyse des logiciels malveillants.
Souvent, lorsque des chercheurs de logiciels malveillants choisissent un logiciel malveillant, ils le font dans une machine virtuelle. La façon dont certaines machines virtuelles résolvent les noms de domaine aboutissent à des noms de domaine non enregistrés considérés comme "résolus" aux applications exécutées sur le VM. Les auteurs avancés du malware le savent et donc avant d'infecter la machine, ils tenteront souvent de se connecter à des noms de domaine non résolus aléatoires. Si ces noms de domaine sont résolus, il signale aux logiciels malveillants qu'il fonctionne sur une machine virtuelle. S'il détecte cela, il abandonnera et refusera d'infecter la machine. Cela permet d'analyser les logiciels malveillants plus difficiles.
Dans le cas des logiciels malveillants de Wannacry, l'auteur a tenté de créer une contre-mesure similaire, mais si malgré tout. Il a codé dur les noms de domaine non enregistrés. Donc, une fois que le chercheur a indiqué que le nom de domaine codé dur à un évier DNS, tous les ordinateurs infectés pensaient qu'ils infectaient une machine virtuelle. Donc, au lieu de démarrer le processus de cryptage, les logiciels malveillants disparaissent pour empêcher une analyse ultérieure.
Si l'auteur a randomié le chèque de nom de domaine, l'enregistrement du nom de domaine n'aurait rien fait.
Ce n'était pas une connexion à un centre de contrôle. C'était dans toutes les vraisemblances une tentative d'empêcher l'analyse dans une machine virtuelle.
Certains boîtes à sable de logiciels malveillants/machines virtuelles intercepteront toutes les demandes HTTP sortantes et "Répondre" comme si elles sont le serveur en question. En utilisant un domaine non existant, Wannacrypt sait que toute réponse "valide" indique qu'il est en cours d'exécution dans un tel environnement. Il peut alors par ex. abandonner ses opérations.
Pour plus de détails, lisez le blog post de la personne qui a détecté cela, ou le Talos Write-up .