(Продолжение. Начало в №37)
Часть 4
В предыдущей статье по материалам SecurityLab первый метод фишинга (через "порутанные" веб-серверы) был описан только в теории. Теперь продемонстрируем эти действия злоумышленников на практике, основываясь на одном из инцидентов, наблюдавшихся в German Honeynet Project (Проект Honeynet - Германия), и еще на одном, замеченном в UK Honeynet Project (Проект Honeynet - Великобритания). В каждом случае были развернуты уязвимые Linux honeypots. Последующий анализ обоих honeypot показал похожие принципы действий хакеров: уязвимые honeypots были обнаружены в процессе сканирования и довольно быстро взломаны, включая заливку заранее спроектированных фальшивых сайтов и закачку утилит массовой рассылки. Также во время атак были "подняты" руткиты и IRC-серверы.
Были обнаружены некоторые интересные различия, но анализ атаки в итоге получился слишком запутанный, так как в инциденте в Великобритании honeypot'ом пользовались сразу несколько групп фишеров. Для более подробного изучения специфических атак на сайте проекта доступна следующая информация:
Overview of Honeynet configurations (Обзор настроек Honeynet);
Details of German honeypot compromise (Тонкости взлома Германского honeypot);
Details of UK honeypot compromise (timeline) (Тонкости взлома honeypot Великобритании - по времени);
Details of UK honeypot compromise (content analysis) (Тонкости взлома honeypot Великобритании - анализ контента).
А в таблице содержится сводка ключевых факторов и различий инцидентов.
| Данные | Инцидент в Германии | Инцидент в Великобритании |
| Порутанный honeypot | Redhat Linux 7.1 x86 | Redhat Linux 7.3 x86 |
| Местоположение | Корпоративная сеть Германии | Центр данных ISP Великобритании; |
| Метод атаки | Авторутер "Superwu" | |
| Массовый сканер | Mole | |
| Использовання уязвимость | Wu-Ftpd File globbing heap corruption | Vulnerability (CVE-2001-0550).NETBIOS SMB trans2open buffer overflow (CAN-2003-0201) |
| Полученный уровень доступа | Root | |
| Установленный руткит | Simple rootkit, который бэкдорит некоторые бинарники | SHV4 rootkit |
| Возможные злоумышленники | Неизвестны | Большие группы с диапазонов кабельных IP-региона Констанца Румынии |
| Действия веб-сайта | Комплексные заранее спланированные фальшивые сайты скачаны, цель - eBay и известные банки США | Заранее спланированные фейковые сайты скачаны, цель - известный банк США |
| Процессы серверной стороны | PHP script для утверждения введенных данных | PHP script с продвинутым утверждением введенных данных и их последующей сортировкой |
| Действия E-mail | Попытка посылки спама, однако блокировано Honeywall | Были посланы только тестовые послания, возможно фишерам из команды. Исправлен синтаксис и представление данных |
| Метод массовой рассылки | Основной PHP-скрипт с небольшим списком почтовых адресов | Основной PHP-скрипт с малым списком почтовых адресов - возможно только тестовый |
| Трафик жертвы, достигший honeypot | Отсутствует, рассылка спама и доступ к ложному сайту закрыт | 265 HTTP запросов за 4 дня, не являющихся следствием спама, посланного с сервера (никаких данных не было введено) |
Из наблюдения за нажатиями клавиш фишера в обоих инцидентах (перехвачено с помощью Sebek), стало ясно, что нападающие подключались к заранее подготовленным бэкдорам и немедленно приступали к развертыванию фишерских сайтов. Атакующие оказались знакомы со средой сервера, что означает, что они состояли в группе тех, кто взламывал honeypot'ы и что попытка фишинга была организована на достойном уровне. Так как залитый веб-контент часто ссылался на другие веб-серверы и IP-адреса, вполне вероятно, что действия злоумышленников были направлены сразу на несколько серверов.
Анализ контента фишинговых сайтов показал, что преступники нацеливались сразу на несколько известных онлайновых фирм. Итак, фальшивый сайт "поднят" и находится в боевой готовности. Листинги директорий просматривались в процессе FTP-сессий, что также подтверждает, что атакующие сильно увлеклись спамом и фишингом. Просмотр веб-контента и средств доставки сообщений, хранящихся на центральном сервере, показал, что злоумышленники намеревались атаковать eBay, AOL и несколько известных банков США (в случае инцидента в Великобритании). Такие индивидуальные атаки вряд ли остаются "изолированными" событиями, ведь спам, посылавшийся во время инцидентов, направлял жертв не только на взломанный honeypot. Это показывает, что фишеры одновременно применяют множество фальшивых веб-серверов и посылают спам сразу с нескольких систем. Параллельные фишинговые операции были замечены по времени первого входящего HTTP-запроса на фишинговый контент после того, как honeypot Великобритании был порутан:
2004-07-23 21:23:14.118902 XXX.XXX.XXX.XXX -> 10.2.2.120 HTTP GET /.internetBankingLogon HTTP/1.1.
Этот входящий HTTP-запрос к honeypot появился до того, как атакующие закончили установку фальшивого онлайнового банка на honeypot, и подтверждает предположение о том, что атакующий прекрасно знал что этот сервер можно было использовать для фишинга. Спам с рекламой фальшивого сайта уже был в процессе рассылки с другого хоста, в тот момент, когда злоумышленник устанавливал свой веб-сайт.
Список DNS доменов, стран и операционных систем, посещающих фишинговый контент honeypot Великобритании оказался на удивление велик. До того как honeypot "уронили", ни один запрос вида HTTP POST к PHP-скрипту, обрабатывающему пользовательские данные, не был разрешен, и никакие пользовательские данные не были раскрыты. Во всех инцидентах были информированы как организация, на которую нацеливалась атака, так и местные CERT. Во всех случаях никакие данные, за которыми охотились фишеры, не были получены участниками Honeynet Project или Research Alliance.
Данные, полученные в ходе анализа этих двух инцидентов, показали, что фишеры активны и хорошо организованы, быстро ориентируются в порутанных компьютерных системах и одновременно атакуют по несколько известных в онлайновом бизнесе организаций. Постоянно происходит так, что в число пользователей e-mail входят банки и онлайн-магазины, поэтому они тоже рискуют стать жертвами фишинга.
Виктор ДЕМИДОВ
Версия для печати
