Pourquoi les logiciels malveillants vérifient-ils périodiquement google.com
Je regarde certains PCAP malveillants, par exemple http://malware-traffic-analysis.net/2014/05/27/index.html .
L'une des choses que j'ai vues fréquemment est les demandes au million de sites Alexa (par exemple, yandex, google, yahoo). J'ai toujours considéré que c'était une technique de vérification de connexion.
Cependant, récemment, j'ai pensé à d'autres informations que vous pouvez glaner à partir de cette demande (par exemple, une fonctionnalité de géoip approximative via la redirection DNS/page).
Je recherche des liens sur le sujet et des réflexions sur cette technique dans les logiciels malveillants courants/peu courants.
Très probablement, il essaie simplement de vérifier s'il existe une connexion Internet fonctionnelle.
Les auteurs de logiciels malveillants supposent que:
- Google (ou d'autres sites Alexa Top-1M) sera en hausse de 99,999% du temps.
- Le trafic allant vers des sites de productivité courants comme Google ne sera pas signalé comme inhabituel.
- Il est peu probable que vous (ou votre administrateur réseau) ayez bloqué ces sites au niveau de la passerelle.
En tant que tel, Google est un bon candidat.
Les tests de connexion simples sont l'une des raisons pour lesquelles les logiciels malveillants peuvent se connecter à Google, Yahoo et à d'autres moteurs de recherche, mais je voudrais présenter une explication différente.
Une application fréquente pour les botnets est le moteur de recherche spam optimisation .
Comme vous le remarquerez peut-être, la page de résultats de Google (et de la plupart des autres moteurs de recherche) ne mène pas directement aux résultats, mais plutôt à des liens de redirection. Cela leur permet de vérifier quels résultats leurs visiteurs visitent réellement. Les moteurs de recherche utilisent ces informations dans le cadre de leurs algorithmes de classement. Lorsque de nombreux utilisateurs recherchent une phrase spécifique et choisissent tous un résultat spécifique qui n'est pas le premier, ce résultat doit évidemment être plus pertinent que le résultat numéro un et doit être remonté. Ainsi, la simulation de nombreuses demandes de recherche pour une certaine phrase, puis la sélection d'un site Web spécifique à partir des résultats peut entraîner un classement plus élevé de cette page pour cette phrase.
En outre, la fonctionnalité de saisie semi-automatique de nombreux moteurs de recherche est basée sur ce que les autres utilisateurs recherchent, ce qui en fait une autre cible intéressante pour le spam dans les moteurs de recherche. Quand j'aurais un million de bots à rechercher malware behavior stackexchange.com, toute autre personne commençant à taper malware behavi dans google obtiendrait alors l'expression ci-dessus comme suggestion de saisie semi-automatique. À la recherche de malware behavior renvoie toutes sortes de sites Web différents, tout en cliquant sur le résultat de la saisie semi-automatique renvoie principalement les résultats de ce site Web . Cela augmenterait vraiment notre trafic.
Je devine juste ici. Mais cela fournirait une solution alternative au problème de la résolution de noms en utilisant un moteur de recherche au lieu de DNS pour trouver un serveur CnC ou pour rechercher des mises à jour et des campagnes.
Il n'est pas clair sur la page Web s'il s'agissait simplement de frapper la première page ou d'exécuter une requête - et je n'ai pas d'outils ici pour lire les fichiers pcap moi-même. Même si ce n'est pas la raison dans ce cas, on ne peut pas l'escompter comme option pour les logiciels malveillants à utiliser.
Je me souviens d'un cas (mais pas du nom du cas) où des logiciels malveillants envoyaient périodiquement des requêtes http vierges à des sites Web importants et fiables pour obtenir un UTC fiable, le logiciel malveillant a été conçu avec une bombe chronométrée, défini sur Denial of Service a spécifié site à une certaine date/heure.