Это система, используемая злоумышленниками для управления и перенаправления трафика жертв в рамках кибератак.
В отличие от защитных TDS, вредоносные версии предназначены для:
- Перенаправления пользователей на фишинговые, эксплойт- или малварные страницы.
- Скрытия вредоносной инфраструктуры (например, через Fast Flux, DGA-домены).
- Динамического изменения маршрутов атаки для обхода блокировок.
- Сегментации трафика (например, перенаправление только определенных жертв или регионов).
Как работает вредоносная TDS?
- Фильтрация входящих запросов – проверка IP, геолокации, User-Agent, cookies и других параметров.
- Принятие решения – отправка "легитимных" пользователей на настоящий сайт, а жертв – на вредоносный.
- Подмена контента – например, загрузка эксплойт-китов вместо обычной рекламы.
- Ротация серверов – использование множества доменов/IP для усложнения обнаружения.
Примеры использования вредоносных TDS
- Кампании массового взлома (например, через скомпрометированные сайты с редиректом на Angler или Rig Exploit Kit).
- Фишинг и таргетированные атаки (подмена банковских страниц только для определенных пользователей).
- Ботнеты (управление трафиком зараженных устройств).
Отличия от защитной TDS
| Критерий | Защитная TDS | Вредоносная TDS |
|---|---|---|
| Цель | Блокировка угроз | Перенаправление на угрозы |
| Управление | Администратор сети | Злоумышленник |
| Примеры | Cisco Umbrella, Palo Alto TDS | Blackhole Exploit Kit, SocGholish |
Вредоносные TDS часто встречаются в эксплойт-китах, кампаниях SEO-отравления и целевых атаках. Для защиты от них используются репутационные фильтры, анализ поведения трафика и песочницы.