Фишинг под микроскопом

(Продолжение. Начало в №37)

Часть 5


Метод Фишинга 2 - Через перенаправление портов:

В ноябре 2004 года Honeynet Project в Германии запустил классическую GenII honeynet с honeypot Redhat Linux 7.3. Несмотря на то, что это довольно старый релиз системы и является легкой добычей для взломщиков, прошло 2,5 месяца, прежде чем honeypot был взломан - ощутимая разница, по сравнению с инцидентами, рассмотренными нами прежде. 11 января 2005 года злоумышленнику удалось захватить honeypot, используя эксплойт OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability. Этот инцидент оказался необычен тем, что никакого фишингового контента не было залито напрямую. Вместо этого хакер установил и настроил службу перенаправления.

Эта служба выполняла перенаправление HTTP запросов, посланных на веб-сервер honeypot, на другой удаленный сервер в открытом виде, что усложняло поиск настоящего расположения контента. Перенаправление осуществлялось на веб-сервер в Китае. Занимательно то, что злоумышленник не потрудился поставить руткит, чтобы скрыть свое присутствие в honeypot, так что, похоже, атакующий особо не ценил порутанный сервер, а команда фишеров особо не боялась быть разоблаченной.

Команда, использовавшаяся атакующим для перенаправления, была следующего вида:

redir --lport=80 --laddr=<honeypot IP> --cport=80 --caddr=221.4.XXX.XXX.

К тому же, фишер модифицировал файл автозагрузки Linux /etc/rc.d/rc.local для подстраховки того, что служба перенаправления будет запущена в случае перезагрузки системы honeypot, тем самым изменив шансы службы остаться в системе. Далее они начали спамить. Для дальнейшего расследования действий фишера участники Honeynet Project Германии вмешались и скрытно изменили настройки службы перенаправления, установленной на honeypot, сделав доступной запись логов, чтобы проще было узнать, сколько пользователей получили спам и кликнули по ссылке, впоследствии перенаправляющей их "в Китай". В течение примерно 36 часов 721 IP-адрес был перенаправлен, и исследователи снова были удивлены количеством пользователей, поддавшихся обману.


Метод Фишинга 3 - С использованием ботнетов:

Ботнет - сеть хакнутых компьютеров, управляемая удаленным узлом атакующего. В связи с их огромными размерами (десятки тысяч систем могут быть взаимосвязаны), ботнеты представляют серьезную угрозу, когда применяется атака типа "Отказ в обслуживании" (Denial-of-Service - DoS). Исследование этой области показало, что ботнеты могут использоваться для массовой рассылки спама, то есть и в целях фишинга. Во время изучения вопроса в октябре 2004 года компания по защите почтовых сообщений CipherTrust выдвинула теорию, что 70% промониторенного фишерного спама посылалось с одного из пяти активных ботнетов, но, судя по всему, на самом деле "живых" ботнетов для спама используется намного больше.

В период между сентябрем 2004 года и январем 2005 Honeynet Project Германии запустил несколько honeypot на базе Microsoft Windows для наблюдения за активностью ботнета. Также была запущена служба, позволяющая honeypot'ам поочередно выходить в он-лайн, быть взломанными и отключенными для проведения экспертизы. За это время было исследовано более 100 отдельных ботнетов, и тысячи файлов были перехвачены для офлайн-анализа.

Некоторые версии бот-софта, перехваченные во время исследования, обеспечивали возможность использовать прокси на SOCKS v4/v5 на взломанной машине. SOCKS'ы - настраиваемый механизм для приложений на базе стека протоколов TCP/IP (RFC 1928) и могут быть использованы для прокса популярного трафика интернет, например, HTTP и SMTP. Получается, что если атакующий использует SOCKS'ы в ботнете, то он сможет послать кучу спама, причем использовать широкие диапазоны IP-адресов, используемых ни о чем не подозревающими пользователями. Отсутствие центральной точки контакта и ряда интернациональных границ может сделать очень трудным или невозможным остановку такой деятельности.

При этом сами спамеры и фишеры рискуют совсем мало, а прибыль имеют очень даже ощутимую. Неудивительно, что владельцы больших ботнетов уже начали своеобразную криминальную активность - сейчас можно сдать ботнет в аренду. За определенную плату оператор ботнета предоставит покупателю список хостов и портов с запущенными SOCKS v4. Имеются документальные подтверждения таких случаев. Некоторые перехваченные в Сети программы также осуществляли функцию добывания почтовых адресов или посылки спама через ботов.

Исследователи изучили несколько общих с фишингом тем во время исследования фишинговых атак, и стало ясно, что злоумышленники используют смесь утилит и методов для увеличения своих шансов на успех. Есть два таких метода - массовое сканирование и комбинация атак.

Анализ некоторого числа порутанных honeypot говорит о том, что эти системы были взломаны с использованием автоматизированных скриптов или эксплоитов, также известных как авторутеры. В обоих инцидентах, описанных выше, после взлома honeypot'ов на серверы были залиты авторутеры. Далее атакующие пытались просканировать большой диапазон IP-адресов на предмет наличия одинаковых уязвимых служб (использовался сканер "superwu" в инциденте в Германии и "mole" в Великобритании). Благодаря настройкам honeynet, исходящий трафик был блокирован и атаки не удались.

(Окончание следует)

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

41 за 2005 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!