恶意软件如何使用未注册的域？

Question

我刚读完WannaDecryptor恶意软件正在查询一个未注册的域。我以为它是连接到它的命令和控制服务器。这是正确的吗？

我的理解是，如果任何类型的程序试图连接到未注册域的服务器，由于IP地址解析失败，连接将失败。对吗？如果不是，域的IP地址是如何解析的？还是我漏掉了什么？

恶意软件是否使用配置的未注册域与控制服务器通信？如果是，它如何能够不使用DNS注册IP地址解析？

Answer 1

正如前两个提到的，恶意软件没有连接到未注册的域名。未注册域是一种防止分析恶意软件的技术。

通常情况下，当恶意软件研究人员在虚拟机中分离恶意软件时，他们会这样做。某些虚拟机解析域名的方式导致未注册域名被视为“解析”到运行在VM上的应用程序。高级恶意软件作者知道这一点，因此在感染计算机之前，他们通常会尝试连接到随机未解决的域名。如果这些域名被解析，那么它就会向恶意软件发出信号，表明它正在虚拟机上运行。如果它检测到这一点，它就会中止并拒绝感染机器。这使得分析恶意软件变得更加困难。

在WannaCry恶意软件的情况下，作者试图创建类似的对策，但这样做是错误的。他硬编码未注册的域名。因此，一旦研究人员将硬编码的域名指向DNS接收器，所有受感染的计算机都认为它们正在感染VM。因此，恶意软件不是启动加密过程，而是退出，以防止进一步的分析。

如果作者随机对域名进行检查，注册域名就什么都不会做了。

Answer 2

在WannaCry的情况下，未注册的域充当一个杀死开关。

该守则做了以下工作：

• 发出HTTP到未注册域
• 如果GET请求失败(因为它未注册)，则继续执行破坏操作
• 如果GET请求成功，则中止

这使攻击者能够通过简单地注册域来阻止自己的攻击。

在WannaCry V1攻击期间，一名恶意软件研究人员观察到未注册域的流量，将其注册，并将其指向DNS天坑。他不知道这将阻止攻击。

这与命令和控制(C2)服务器非常不同，后者希望建立连接以控制远程计算机。

Answer 3

那不是与控制中心的连接。这很可能是为了阻止虚拟机中的分析。

一些恶意软件沙箱/虚拟机会拦截所有传出的HTTP请求，并像服务器一样“回复”。通过使用不存在的域，Wannacrypt知道任何“有效”响应都表示它正在这样的环境中运行。然后，它就可以中止其操作。

有关详细信息，请阅读检测到此信息的人的博客文章或塔罗斯笔录。