web-dev-qa-db-ja.com

マルウェアが定期的にgoogle.comをチェックするのはなぜですか

私はいくつかのマルウェアPCAPを見ています。 http://malware-traffic-analysis.net/2014/05/27/index.html

私が頻繁に目にするものの1つは、Alexaの上位100万のサイト(yandex、google、yahooなど)へのリクエストです。私はこれを接続チェック手法と常に考えてきました。

ただし、私は最近、そのリクエストから収集できる他の情報(たとえば、DNS /ページリダイレクトによる大まかなgeoip機能)について検討してきました。

一般的なマルウェアと一般的でないマルウェアで、この手法に関するこの件に関するリンクと考えを探しています。

32
Fred Concklin

ほとんどの場合、インターネット接続が機能しているかどうかを確認しようとしているだけです。

マルウェアの作成者は、次のことを想定しています。

  • Google(または他のAlexa Top-1Mサイト)は、99.999%の確率で上昇します。
  • Googleのような一般的な生産性サイトへのトラフィックは、異常としてフラグが立てられません。
  • あなた(またはあなたのネットワーク管理者)は、これらのサイトをゲートウェイでブロックした可能性は低いでしょう。

そのため、Googleは良い候補です。

63
Polynomial

マルウェアがGoogle、Yahoo、その他の検索エンジンに接続する可能性がある理由の1つは、単純な接続テストですが、別の説明をしたいと思います。

ボットネットの1つの頻繁なアプリケーションは検索エンジンです スパム 最適化

お気づきかもしれませんが、Google(および他のほとんどの検索エンジン)の結果ページは直接結果につながるのではなく、リダイレクトリンクにつながります。これにより、訪問者が実際に訪問した結果を確認できます。検索エンジンは、ランキングアルゴリズムの一部としてこの情報を使用します。多くのユーザーが特定のフレーズを検索し、すべてが最初の結果ではない特定の結果を選択する場合、その結果は明らかに1番目の結果より関連性が高く、上に移動する必要があります。したがって、特定のフレーズに対する多数の検索リクエストをシミュレートし、結果から特定のWebサイトを選択すると、そのページがそのフレーズで上位にランク付けされる可能性があります。

また、多くの検索エンジンのオートコンプリート機能は、他のユーザーが何を検索したかに基づいているため、検索エンジンのスパムのもう1つの興味深いターゲットになっています。 100万件のボットでmalware behavior stackexchange.comを検索すると、Googleにmalware behaviと入力し始めると、上記のフレーズがオートコンプリートの候補として表示されます。 malware behavior を検索すると、さまざまな種類のWebサイトが返されますが、そのオートコンプリート結果をクリックすると、 ほとんどの場合、このWebサイトからの結果が返されます 。それは本当に私たちのトラフィックを増やします。

13
Philipp

私はここで推測しています。しかし、DNSの代わりに検索エンジンを使用してCnCサーバーを検索したり、更新やキャンペーンをポーリングしたりすることで、名前解決の問題に対する代替ソリューションを提供します。

フロントページにアクセスしたりクエリを実行したりするだけの場合は、Webページから明確ではありません。pcapファイルを自分で読み取るためのツールはここにありません。それがこの場合の理由ではないとしても、マルウェアが使用するオプションとしてそれを割り引くことはできません。

6
symcbean

マルウェアが信頼性の高いUTCを取得するために、大きくて信頼性の高いWebサイトに定期的に空白のhttpリクエストを送信するケースを覚えています(マルウェアは、時限爆弾を使用して設計され、特定のサービス拒否に設定されています)特定の日時のサイト。

2
miethpo