工业控制系统供应商得到关于域名抢注粗心,灰鸽子，灰鸽子远程控制软件

admin

工业控制系统供应商得到关于域名抢注粗心,灰鸽子，灰鸽子远程控制软件

研究人员发现433域类似于11工业控制系统制造商
许多公司保护自己的品牌通过注册域名的细微变化,但工业控制系统制造商似乎没有跟进,潜在客户留下开放的攻击。
安全咨询公司数字键的研究人员发现433年所谓的“蹲”域的名字类似于11工业制造商,已经被不知名的第三方注册。一些领域已经举办诈骗、恶意重定向和恶意软件。
攻击者参与域蹲由于各种原因:举办钓鱼页面为了偷凭证,直接意外访客恶意软件,从品牌的受欢迎程度通过展示广告,或把域名卖给品牌所有者支付了大笔费用。
冒充域名的工业控制系统供应商,攻击者可以欺骗工厂、公用事业和石油和天然气炼油厂下载恶意软件或修改固件,把关键资产面临风险。监控和数据采集(SCADA)系统,集成电路的一个组成部分,是一个越来越有趣的黑客的目标,尤其是那些想做物理伤害。
蹲域名包括那些由于拼写错误,如“goople.com”或依赖homoglyphs——看起来相似的人物——比如0而不是资本“o”。
攻击者也使用一种技术称为bitsquatting,涉及注册域名,只相差一个从原始,然后依靠内存损坏硬件错误导致用户。
在每个DNS查找或HTTP请求,域名都存储在计算机的内存作为二进制代码——0和1的序列。如果计算机的内存损坏,例如由于错误的内存模块,一个或多个比特意外可以翻转。
例如,google.com和googme.com有1位之间的区别——表示字母“l”的二进制是01101100,和“m”是01101101。所以在电脑上有点错误在内存中加载google.com可能会导致用户的浏览器googme.com。
从一台计算机的角度,有些错误是罕见的。但在互联网上有很多设备,通常有多个实例的域名在内存中。所以bitsquatting域吸引游客意外的可能性并不是微不足道的。
袭击者似乎意识到了这一点。里德怀特曼表示,数字债券实验室执行主任ICS领域调查,bitsquatting是第三个最常见的技术用于生成识别蹲领域,占20%的433域，灰鸽子, 灰鸽子下载。
怀特曼提出他的发现周四在维也纳S4xEurope会议。
他还发现,193年的433个域名邮件交换(MX)记录配置,这意味着他们可以接收电子邮件。
193年的领域,为任何用户22接受电子邮件,即使收件人地址不存在。这意味着,至少在原则上,主人可以拦截私人电子邮件发送到真正的集成电路供应商。
在一个案例中,怀特曼收到钓鱼邮件从slemens.com(slemens.com)几个月后他测试了发送电子邮件的电子邮件地址域。在某种程度上,相同的域托管恶意软件。
另一个域siemsns., 远程控制软件,被发现托管,在不同的时间,技术支持诈骗导致远程访问木马安装程序,广告软件的形式浏览器扩展和一个流氓调查。
事实上,怀特曼发现254住主机上配置433蹲域。几乎一半的人举办广告或待售的页面,但28执行可疑的重定向和10托管恶意软件。
研究人员没有发现任何恶意程序,专门针对工业控制系统,但他发现恶意软件Windows和mac OS X,包括一个前所未知的OS X的威胁,反病毒产品检测率为零。
“有人会讨厌这种“和专门针对ICS所有者,怀特曼说。
例如,攻击者可以注册一个蹲域和模仿的深度链接结构固件更新从一个真正的供应商的网站。如果这样的链接然后分发给用户域名不匹配的难度可能会发现,他说。
合法,它可以是困难和昂贵的解决域名抢注公司一旦发生,因为他们需要投诉和证明商标侵权,或从其现有所有者购买蹲领域大量的钱。事实上,许多寮屋居民登记这些域为了以后卖给品牌所有者很大利润。
更容易和更便宜的公司登记潜在蹲域早期从潜在的滥用和保护他们的品牌。有工具,如dnstwist,公司可以用来识别潜在蹲域,可能影响他们。