Parfois il vaut mieux fuir que combattre. Surtout quand l'ennemi s'appelle Locky, le ransomware le plus dévastateur de sa génération qui infecte quotidiennement près de 100 000 terminaux dans le monde. Si des outils et conseils fourmillent sur le web pour tenter de se défaire de ce malware - saluons à ce titre ceux émanant de l'initiative nomoreransom.org - il n'en reste pas moins qu'il s'agit là de moyens de lutte a posteriori. Mais face à un ennemi aussi puissant que Locky, la tactique de combat pourrait plutôt être de chercher à éviter l'affrontement plutôt qu'à batailler contre lui. C'est en tout cas ce que suggère Yuriy Yuzifovich, directeur de la recherche en sécurité et science de la donnée de Nominum, qui a publié via notre confrère de Networkworld un billet intéressant sur ce sujet.

« En utilisant un large ensemble de données de requête DNS, il est possible de détecter et suivre l'évolution des domaines générés au travers d'une variété de méthodes algorithmiques comme le clustering, le score de réputation, le reverse engineering... », explique Yuriy Yuzifovich. « L'examen du flux mondial de requêtes DNS anonymisées aux côtés de technologies de corrélation et de détecion d'anomalie rend possible l'identification de domaines suspects utilisés par Locky pour télécharger des clés de chiffrements en temps réel. ForcePoint est l'une des sociétés ayant réussi à effectuer un tel travail pour réaliser de l'ingénierie arrière sur le DGA [domain generation algorithm] utilisé par Locky. En utilisant le DGA existant et en conduisant des processus additionnels de domaines suspects, il est possible de déterminer les nouveaux flux utilisés par Locky et d'énumérer alors tous les futurs noms de domaines que pourront utiliser Locky. »

Eviter l'infection par Locky en détectant les noms de domaine suspects

D'après M. Yuzifovich, il est donc ainsi possible d'utiliser ces méthodes avancées pour détecter des noms de domaines suspects très rapidement et avec une grande précision. Plusieurs noms de domaines créés par Locky ont ainsi pu être détectés comprenant mrjuvawlwa[.]xyz ; uydvrqwgg[.]su ; uwiyklntlxpxj[.]work ; owvtbqledaraqq[.]su ; udfaexci[.]ru ; eabfhwl[.]ru ; olyedawaki[.]pl ; uxwfukfqxhydqawmf[.]su ; ikdcjjcyjtpsc[.]work ; wrbwtvcv[.]su ; osxbymbjwuotd[.]click ; qtuanjdpx[.]info...