Ботам не место в Швейцарии

Специалисты из CERT взломали  DGA-алгоритм спам бота Tofsee/Gheg, тем самым предсказали  тысячи доменных имен, которые могли бы использоваться для связи с C&C.

По утверждениям экспертов половина этих доменных имен принадлежит  TLD-домену Швейцарии (.ch) и уже закрыты для регистрации, благодаря старания администраторов из SWITCH.

Проанализировав спам-бота Tofsee, исследователи пришли к выводу, что этот бот способен всего за несколько минут сгенерировать сотни писем. Однако их внимание привлек другой функционал этого бота, он запрашивал домены, явно, созданные по определенному алгоритму, половина из которых находится в региональной зоне .ch, что является большой редкостью.

Копнув глубже, они  обнаружили, что при каждом запуске бот способен сгенерировать около 20 доменных имен, которые будут действительны в течение одной недели, одна часть будет в доменной зоне .ch, другая в .biz. Благодаря этому исследователи получили список доменных имен, которые могли бы быть использованы  спам-ботом  Tofsee в течение последующих 52 недель.

Все свои исследования эксперты из CERT передали SWITCH, после чего было принято решение закрыть регистрацию всех возможных DGA-комбинаций, что существенно скажется на работоспособности этого бота и принесет не мало хлопот ботоводам.