DNS для злоумышленника.
DNS для злоумышленника.
Протокол DNS может быть не только целью злоумышленников, но и средством, с помощью которого вредонос, поселившийся в сети жертвы, может связываться с сервером управления. Представим следующую ситуацию. Сотрудник некоторой компании заразил свою рабочую машину, открыв документ, содержащий макросы, запускающие вредоносный код. В результате произошло заражение данного компьютера. Но как вредоносу теперь связаться со своим хозяином, для того чтобы сообщить данные о зараженной машине и получить команды для дальнейших действий? Очевидно, что инициировать соединение может только зараженная машина, так как снаружи сеть отделена межсетевым экраном и инициировать соединение из интернета во внутреннюю сеть не получится. В таком случае вредоносу нужно самому достучаться до сервера управления. И все бы ничего, но если бы у этого сервера было фиксированное доменное имя, то антивирусные компании давно бы его обнаружили и добились бы его блокировки. Поэтому доменное имя данного сервера постоянно меняется. Злоумышленники заранее генерируют и регистрируют большое количество различных бессмысленных доменных имен. Алгоритм генерации этих имен зашивается в код вредоноса, и в процессе своих попыток связаться с сервером он перебирает эти сгенерированные имена. Это называется Domain Generation Algorithm (DGA).
Запрос к узлу с именем, начинающимся с f5…, оказался успешным, и вредонос узнал IP-адрес сервера управления. В результате вредонос может установить соединение с сервером управления. Так что если вы видите в журналах сетевых средств защиты или сервера DNS подобные запросы, то это верный признак того, что в вашей сети поселилось какое-то вредоносное приложение.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
DNS for the attacker.
The DNS protocol can be not only the target of intruders, but also a means by which a malware that has settled in the victim's network can communicate with the management server. Let's imagine the following situation. An employee of a company infected his work machine by opening a document containing macros that run malicious code. As a result, this computer was infected. But how can the malware now contact its owner in order to provide information about the infected machine and receive commands for further actions? Obviously, only an infected machine can initiate a connection, since the network is separated from the outside by a firewall and it will not be possible to initiate a connection from the Internet to the internal network. In this case, the malware needs to reach the management server itself. And everything would be fine, but if this server had a fixed domain name, then antivirus companies would have discovered it long ago and would have blocked it. Therefore, the domain name of this server is constantly changing. Attackers generate and register a large number of different meaningless domain names in advance. The algorithm for generating these names is sewn into the malware's code, and in the process of trying to contact the server, it iterates through these generated names. This is called the Domain Generation Algorithm (DGA).
The request to the node with a name starting with f5... was successful, and the malware found out the IP address of the management server. As a result, the malware can establish a connection to the management server. So if you see similar requests in the logs of network security tools or the DNS server, then this is a sure sign that some kind of malicious application has settled on your network.
Oleg Petukhov, lawyer in the field of international law and personal data protection, information security specialist security, protection of information and personal data.
Telegram channel: https://t.me/protectioninformation
Telegram Group: https://t.me/informationprotection1
Website: https://legascom.ru
Email: online@legascom.ru
#informationprotection #informationsecurity
DNS für einen Angreifer.
Das DNS-Protokoll kann nicht nur das Ziel von Angreifern sein, sondern auch das Mittel, mit dem ein Schädling, der sich im Netzwerk eines Opfers niedergelassen hat, mit dem Management Server kommunizieren kann. Stellen wir uns die folgende Situation vor. Ein Mitarbeiter eines Unternehmens hat seine Arbeitsmaschine infiziert, indem er ein Dokument geöffnet hat, das Makros enthält, die bösartigen Code ausführen. Dadurch wurde der Computer infiziert. Aber wie kann die Malware nun ihren Besitzer kontaktieren, um Daten über die infizierte Maschine zu melden und Befehle für weitere Aktionen zu erhalten? Offensichtlich kann nur eine infizierte Maschine die Verbindung initiieren, da das Netzwerk von außen durch eine Firewall getrennt ist und es nicht möglich ist, eine Verbindung vom Internet zum internen Netzwerk zu initiieren. In diesem Fall muss die Malware selbst zum Management Server gelangen. Und alles wäre in Ordnung, aber wenn dieser Server einen festen Domänennamen hätte, hätten Antivirus-Unternehmen ihn schon lange entdeckt und seine Blockierung erreicht. Daher ändert sich der Domänenname dieses Servers ständig. Angreifer generieren und registrieren im Voraus eine große Anzahl verschiedener bedeutungsloser Domainnamen. Der Algorithmus zur Generierung dieser Namen wird in den Code des Schädlings eingenäht und bei seinen Versuchen, sich mit dem Server zu verbinden, durchläuft er diese generierten Namen. Dies wird als Domain Generation Algorithm (DGA) bezeichnet.
Die Anforderung an einen Knoten mit einem Namen, der mit f5... beginnt, war erfolgreich, und der Schädling erkannte die IP-Adresse des Management Servers. Infolgedessen kann ein Schädling eine Verbindung zum Management Server herstellen. Wenn Sie also ähnliche Abfragen in den Protokollen von Netzwerkschutz- oder DNS-Servern sehen, ist dies ein sicheres Zeichen dafür, dass sich eine schädliche Anwendung in Ihrem Netzwerk niedergelassen hat.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
DNS pour l'attaquant.
Le protocole DNS peut être non seulement la cible des attaquants, mais aussi le moyen par lequel le malware installé sur le réseau de la victime peut communiquer avec le serveur de gestion. Imaginons la situation suivante. Un employé d'une entreprise a infecté sa machine de travail en ouvrant un document contenant des macros déclenchant du code malveillant. En conséquence, cet ordinateur a été infecté. Mais comment les logiciels malveillants peuvent-ils maintenant communiquer avec leur hôte afin de signaler les données de la machine infectée et obtenir des commandes pour d'autres actions? De toute évidence, seule la machine infectée peut initier la connexion, car le réseau extérieur est séparé par un pare-feu et la connexion d'Internet vers le réseau interne ne fonctionnera pas. Dans ce cas, le malware doit atteindre le serveur de gestion lui-même. Et tout ne serait rien, mais si ce serveur avait un nom de domaine fixe, les sociétés antivirus l'auraient découvert et l'auraient bloqué depuis longtemps. Par conséquent, le nom de domaine de ce serveur change constamment. Les attaquants génèrent et enregistrent à l'avance un grand nombre de noms de domaine différents sans signification. L'algorithme de génération de ces noms est cousu dans le code du malware, et dans le processus de ses tentatives de contacter le serveur, il parcourt ces noms générés. C'est ce qu'on appelle l'algorithme de génération de domaine (DGA).
La requête à l'hôte avec un nom commençant par f5... a réussi et le malware a reconnu l'adresse IP du serveur de gestion. En conséquence, le malware peut établir une connexion avec le serveur de gestion. Donc, si vous voyez des requêtes similaires dans les journaux de sécurité du réseau ou du serveur DNS, c'est un signe certain qu'une application malveillante s'est installée sur votre réseau.
Petukhov Oleg, avocat en droit international et protection des données personnelles, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Telegram Channel: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
E-mail: online@legascom.ru
#sécuritéinformations #informationsécurité
DNS pour l'attaquant.
Le protocole DNS peut être non seulement la cible des attaquants, mais aussi le moyen par lequel le logiciel malveillant installé sur le réseau de la victime peut communiquer avec le serveur de gestion. Imaginons la situation suivante. Un employé d'une entreprise a infecté sa machine de travail en ouvrant un document contenant des macros déclenchant du code malveillant. En conséquence, cet ordinateur a été infecté. Mais comment les logiciels malveillants peuvent-ils maintenant communiquer avec leur hôte afin de signaler les données de la machine infectée et obtenir des commandes pour d'autres actions ? De toute évidence, seule la machine infectée peut initier la connexion, car le réseau extérieur est séparé par un pare-feu et la connexion d'Internet vers le réseau interne ne fonctionnera pas. Dans ce cas, le logiciel malveillant doit atteindre le serveur de gestion lui-même. Et tout ne serait rien, mais si ce serveur avait un nom de domaine fixe, les compagnies antivirus l'auraient découvert et l'auraient bloqué depuis longtemps. Par conséquent, le nom de domaine de ce serveur change constamment. Les attaquants génèrent et enregistrent à l'avance un grand nombre de noms de domaine différents sans signification. L'algorithme de génération de ces noms est cousu dans le code du logiciel malveillant, et dans le processus de ses tentatives de contacter le serveur, il parcourt ces noms générés. C'est ce qu'on appelle l'algorithme de génération de domaine (DGA).
La requête à l'hôte avec un nom commençant par f5... a réussi et le logiciel malveillant a reconnu l'adresse IP du serveur de gestion. En conséquence, le logiciel malveillant peut établir une connexion avec le serveur de gestion. Donc, si vous voyez des requêtes similaires dans les journaux de sécurité du réseau ou du serveur DNS, c'est un signe certain qu'une application malveillante s'est installée sur votre réseau.
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel: online@legascom.ru
#sécuritéinformations #informationsécurité
DNS para el atacante.
El protocolo DNS puede no solo ser el objetivo de los atacantes, sino también el medio por el cual el malware que se instala en la red de la víctima puede comunicarse con el servidor de administración. Imaginemos la siguiente situación. Un empleado de alguna compañía infectó su máquina de trabajo al abrir un documento que contenía macros que ejecutaban código malicioso. Como resultado, se infectó este equipo. Pero, ¿cómo puede el malware ahora ponerse en contacto con su propietario para informar los datos sobre la máquina infectada y obtener comandos para futuras acciones? Obviamente, solo una máquina infectada puede iniciar una conexión, ya que la red exterior está separada por un firewall y no se puede iniciar una conexión de Internet a la red interna. En este caso, el malware necesita llegar al servidor de control. Y todo estaría bien, pero si este servidor tuviera un nombre de dominio fijo, las compañías antivirus lo habrían descubierto hace mucho tiempo y habrían logrado bloquearlo. Por lo tanto, el nombre de dominio de este servidor cambia constantemente. Los atacantes generan y registran una gran cantidad de diferentes nombres de dominio sin sentido de antemano. El algoritmo de generación de estos nombres se codifica en el código malicioso, y en el proceso de sus intentos de comunicarse con el servidor, itera sobre estos nombres generados. Se llama Domain Generation Algorithm (DGA).
Una solicitud a un nodo con un nombre que comienza con f5 ... resultó exitosa y el malware descubrió la dirección IP del servidor de administración. Como resultado, el malware puede establecer una conexión con el servidor de administración. Por lo tanto, si ve este tipo de solicitudes en los registros de seguridad de la red o en el servidor DNS, es una señal segura de que alguna aplicación maliciosa se ha instalado en su red.
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
DNS para o atacante.
O protocolo DNS pode não ser apenas um alvo para os invasores, mas também um meio pelo qual um malware que se instala na rede da vítima pode se comunicar com o servidor de controle. Imagine a seguinte situação. Um funcionário de uma empresa infectou sua máquina de trabalho abrindo um documento contendo macros que acionam o código malicioso. Como resultado, o computador foi infectado. Mas como o malware pode agora entrar em contato com seu mestre, a fim de relatar os dados sobre a máquina infectada e obter comandos para a próxima ação? Obviamente, apenas a máquina infectada pode iniciar a conexão, já que a rede é separada do lado de fora por um firewall e não será possível iniciar uma conexão da Internet para a rede interna. Nesse caso, o malware precisa chegar ao servidor de gerenciamento por conta própria. E tudo seria nada, mas se este servidor tivesse um nome de domínio fixo, as empresas de antivírus o teriam descoberto há muito tempo e teriam conseguido bloqueá-lo. Portanto, o nome de domínio desse servidor está em constante mudança. Os invasores geram e registram antecipadamente um grande número de diferentes nomes de domínio sem sentido. O algoritmo de geração desses nomes é costurado no código do malware e, durante suas tentativas de se comunicar com o servidor, ele passa por cima desses nomes gerados. Isso é chamado de algoritmo de Geração de domínio (DGA).
A solicitação para um host que começasse com f5... foi bem-sucedida e o malware descobriu o endereço IP do servidor de gerenciamento. Como resultado, o malware pode estabelecer uma conexão com o servidor de controle. Portanto, se você vir solicitações semelhantes nos registros de segurança da rede ou do servidor DNS, isso é um sinal claro de que algum aplicativo malicioso se instalou em sua rede.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
DNS para o atacante.
O protocolo DNS pode ser não apenas o alvo de intrusos, mas também um meio pelo qual um malware que se instalou na rede da vítima pode se comunicar com o servidor de gerenciamento. Vamos imaginar a seguinte situação. Um funcionário de uma empresa infectou sua máquina de trabalho abrindo um documento contendo macros que executam código malicioso. Como resultado, este computador foi infectado. Mas como o malware agora pode entrar em contato com seu proprietário para fornecer informações sobre a máquina infectada e receber comandos para outras ações? Obviamente, apenas uma máquina infectada pode iniciar uma conexão, uma vez que a rede é separada do exterior por um firewall e não será possível iniciar uma conexão da Internet para a rede interna. Nesse caso, o malware precisa chegar ao próprio servidor de gerenciamento. E tudo ficaria bem, mas se esse servidor tivesse um nome de domínio fixo, as empresas de antivírus o teriam descoberto há muito tempo e o teriam bloqueado. Portanto, o nome de domínio deste servidor está mudando constantemente. Os invasores geram e registram um grande número de diferentes nomes de domínio sem sentido com antecedência. O algoritmo para gerar esses nomes é costurado no código do malware e, no processo de tentar entrar em contato com o servidor, ele itera por meio desses nomes gerados. Isso é chamado de algoritmo de Geração de domínio (DGA).
A solicitação para o nó com um nome começando com f5... foi bem-sucedido e o malware descobriu o endereço IP do servidor de gerenciamento. Como resultado, o malware pode estabelecer uma conexão com o servidor de gerenciamento. Portanto, se você vir solicitações semelhantes nos logs das ferramentas de segurança de rede ou do servidor DNS, esse é um sinal claro de que algum tipo de aplicativo malicioso se instalou em sua rede.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
DNS per l'attaccante.
Il protocollo DNS non può essere solo l'obiettivo degli aggressori, ma anche un mezzo attraverso il quale un malware che si è stabilito nella rete di una vittima può comunicare con un server di gestione. Immaginiamo la seguente situazione. Un dipendente di alcune aziende ha infettato la sua macchina da lavoro aprendo un documento contenente macro che attivano codice dannoso. Di conseguenza, si è verificata un'infezione di questo computer. Ma come fa il malware ora contattare il suo padrone, al fine di segnalare i dati sulla macchina infetta e ottenere comandi per ulteriori azioni? Ovviamente, solo la macchina infetta può avviare la connessione, poiché all'esterno la rete è separata dal firewall e non sarà possibile avviare la connessione da Internet alla rete interna. In questo caso, il malware deve raggiungere il server di gestione da solo. E tutto andrebbe bene, ma se questo server avesse un nome di dominio fisso, le società antivirus lo scoprirebbero molto tempo fa e lo otterrebbero bloccato. Pertanto, il nome di dominio di questo server è in continua evoluzione. Gli aggressori generano e registrano in anticipo un gran numero di diversi nomi di dominio senza senso. L'algoritmo per la generazione di questi nomi è codificato nel codice dannoso e, nel processo dei suoi tentativi di contattare il server, itera su questi nomi generati. Si chiama Domain Generation Algorithm (DGA).
La richiesta a un nodo con un nome che inizia con f5... ha avuto successo e il malware ha riconosciuto l'indirizzo IP del server di gestione. Di conseguenza, il malware può stabilire una connessione al server di gestione. Quindi, se vedi query simili nei registri delle protezioni di rete o del server DNS, questo è un segno sicuro che qualche applicazione dannosa si è stabilita nella tua rete.
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
