03.07.2005

Знай Своего Врага в Лицо – Фишинг Или Что Скрывается за Атаками Фишинга, часть 2, общие темы

Мы изучили несколько общих с фишингом тем во время исследования фишинговых атак, и ясно то, что злоумышленники используют смесь утилит и методов для увеличения своих шансов на успех. Сейчас мы рассмотрим два таких метода – массовое сканирование и комбинация атак.

Мы изучили несколько общих с фишингом тем во время исследования фишинговых атак, и ясно то, что злоумышленники используют смесь утилит и методов для увеличения своих шансов на успех. Сейчас мы рассмотрим два таких метода – массовое сканирование и комбинация атак.

Массовое Сканирование

Анализ некоторого числа порутанных honeypot наводит на мысль о том, что эти системы были взломаны с использованием каких-либо автоматизированных скриптов или эксплоитов, также известных как авторутеры. В обоих инцидентах, описанных выше, после взлома honeypot’ов на серверы были залиты авторутеры. Далее атакующие попытались просканировать большой диапазон IP адресов на предмет наличия одинаковых уязвимых служб (использовался сканер "superwu" в инциденте в Германии и "mole" в Великобритании). Перехваченные нажатия клавиш в инциденте в Великобритании представлены ниже. В них показаны разновидности массового сканирования, предпринятого с порутанных honeypot. Не забывайте, что благодаря настройкам honeynet, исходящий трафик был блокирован и атаки не удались.

Атакующий распаковывает сканер и пытается просканировать сеть класса В:

[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz
[2004-07-18 15:23:33 bash 0]cd mole
[2004-07-18 15:23:38 bash 0]./mazz 63.2
[2004-07-18 15:24:04 bash 0]./mazz 207.55
[2004-07-18 15:25:13 bash 0]./scan 80.82

Теперь он пытается применить сплойт к потенциально уязвимым серверам:

 [2004-07-19 11:56:46 bash 0]cd mole
[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
[2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNN

Злоумышленник вернулся немного погодя и у видел, что список порутанных серверов был пуст:

[2004-07-23 08:13:18 bash 0]cd mole
[2004-07-23 08:13:20 bash 0]ls
[2004-07-23 08:13:25 bash 0]cat hacked.servers

Теперь он пробует просканить несколько диапазонов адресов сети класса В и затем протестировать эксплоит на некоторых целях:

[2004-07-24 10:24:17 bash 0]cd mole
[2004-07-24 10:24:19 bash 0]./scan 140.130
[2004-07-24 10:24:27 bash 0]./scan 166.80
[2004-07-24 10:25:36 bash 0]./scan 166.4
[2004-07-24 10:26:23 bash 0]./scan 139.93
[2004-07-24 10:27:18 bash 0]./scan 133.200
[2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX
[2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY
[2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY

Заметьте, что в дальнейшем примере хосты, которые пытается взломать хакер не входят в диапозоны сканируемых адресов. Это лишний раз доказывает координированные и параллельные сканирования.

В ходе дальнейшего исследования файла mole.tgz, скачанного атакующими в Великобритании, в рутовой директории было найдено несколько текстовых файлов от распакованного авторутера. В файлах содержались настройки и логии предидущего сканирования на "grabbb2.x и samba2.2.8 уязвимости". Также в файлах были найдены сведения о 42 случаях атак на другие хосты, плюс доказательства массового сканирования диапазонов IP адресов сетей класса В, что опять же доказало, что рассмотренный инцидент был лишь частью большей и более организованной атаки на подобные системы. Пример лога из mole с точки зрения атакующего представлен здесь.

Некоторые утилиты массового сканирования, перехваченные с порутанных honeypot не путешествуют по просторам Интернета, что говорит о некотором уровне знаний атакующих – а знания эти намного выше, чем рядового скрипт-кидди, или эти ребята состоят в скрытном обществе, не выставляющих свои творения на публичных форумах. Опять же, стоит догадываться что все это часть более организованной атаки.

Комбинация Атак

В ходе нашего исследования мы также заметили что фишеры часто совмещают три метода атак, рассмотренных в этой статье, иногда даже сочетают составные виды атак для обеспечения резерва и защиты собственной фишерной инфраструктуры через осуществление двух этажной конфигурации сети. Рисунок ниже показывает возможную топологию фишерной сети:

В этом примере центральный веб сервер хостит физическое фишерное содержимое, чаще всего обслуживая несколько сайтов (например фишерный сайт eBay в директории/ebay и PayPal в /paypal). Несколько взломанных удаленных компьютеров перенаправляют входящий на 80 TCP порт HTTP трафик на центральный веб сервер при помощи перенаправителя redir. В этом случае атакующий имеет некоторые преимущества по сравнению с использованием одиночного фишерного сайта:

  • Если взлом одной из систем обнаружен, то жертва, скорее всего, отключит машину от сети и переустановит систему. Однако это не будет фатальной потерей, т.к. главный сервер все еще будет в он лайне, а другие взломанные машины также будут перенаправлять трафик.
  • Если обнаружен взлом центрального фишерного сервера, то систему также отключат от сети. Теперь фишер может легко поднять новый сайт на свежевзломанной системе и поправить настройки существующей фишерной сети.
  • Хост redir имеет довольно таки гибкие настройки и может быть легко перенастроен на перенаправление трафика на другой фейковый сервер. Это сокращает время между взломом системы и моментом пуска фишерного сайта, а также увеличивает длину окна атаки, в котором фишерные атаки могут быть осуществлены.

Использование этих методов далеко не впервые подтверждает хорошо организованную работу грамотных хакеров, гораздо более высокого уровня, чем скрипт-киди. Похожие модели сети часто используются большинством хостинговых компаний и провайдерами.

Дальнейшие Наблюдения – Трансфер Денежных Средств

Наше исследование также прольет свет на то, как фишеры используют добытую информацию об банковых акаунтах, например, номер акаунта с присвоенным TAN (transaction number – используется в электронных банковских системах). Всвязи с тем, что трансфер всей зарубежной валюты мониторится банками, у фишеры не могут просто просто пересылать большие суммы денег и не быть замеченными. Следовательно, фишерам приходится использовать посредников для трансфера денег – в два этапа Фишер переводит деньги со счета жертвы на счет посредника в той же стране. А посредник снимает нарубленное добро со своего счета (с меньшим процентом быть замеченным) и отправляет зелень Фишеру по обычной почте. Конечно, посредника могут и присечь, но когда деньги уже в пути к фишеру, они особо не рискуют, т.к. их маршрут может легко изменить еще один посредник. Вот пример финансовых махинаций, скрывающихся за фишерными атаками:

Здравствуйте!
Мы ищем людей из Европы, которые смогут
Отправлять/Получать банковские переводы с наших продаж
от Европейских клиентов. Чтобы не платить НАЛОГИ за
интернациональные переводы в России. Мы предлагаем
10% от всех денег, прошедших через Вас и обязуемся
обеспечить все затраты за пересылку денежных фондов
обратно. Примерное количество денег, которое будет
проходить через Ваш акаунт ежедневно составит около
1000 евро. Вся активность является легальной в Европе.
Заполните эту форму: http://XXX.info/index.php (перед
заполнением установите пожалуйста yahoo! Messenger
или msn), Вы получите полное описание очень быстро.
 
Hello!
We finding Europe persons, who can Send/Receive bank wires
from our sellings, from our European clients. To not pay
TAXES from international transfers in Russia. We offer 10%
percent from amount u receive and pay all fees, for sending
funds back.Amount from 1000 euro per day. All this activity
are legal in Europe.
Fill this form: http://XXX.info/index.php (before filling
install yahoo! messenger please or msn), you will recieve
full details very quickly.
 
 
Wir, europäische Personen findend, die Bankleitungen
davon Senden/erhalten können unsere Verkäufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
Übertragungen in Russland nicht zu bezahlen. Wir
erhält das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze Tätigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.
 
Благодарим за сотрудничество, FINANCIE LTD.

На самом деле производился фиговенький перевод с английского на немецкий, причем похоже на работу компьютерного переводчика (русский вариант предоставлен для читателя), что говорит о том, что атакующие родной язык злоумышленников не английский. Т.к. деньги переводятся в Россию, возможно атакующий там и живет. Такое поведение в последнее время встречается все чаще.

Honeysnap – Помощь в Анализе Инцидента

Когда мы начали анализировать данные из Великобританской honeynet было очевидно одно – в связи с синхронными атаками разных групп blackhat, большая часть времени была бы потрачена на извлечение и подготовку данных из сетевых потоков перед детальным анализом. Извлечение данных процесс долгий и скучный и, если проводить его вручную, он займет много времени, которое можно было бы потратить на анализ данных. Требовалось автоматизированное решение.

Скрипт honeysnap, написанный David Watson (проект Honeynet, Великобритания), пришел на ум и был сконструирован для обработки данных на дневной основе и производить простой и краткий отчет для дальнейшего ручного анализа. Нoneysnap разюивает все данные каждого из honeypot и представляет их в виде логов исходящих HTTP и FTP GETs, IRC и нажатий клавиш в Sebek. Пересборка TCP потока для просмотра интересных соединений также автоматизирована, как и извлечение, идентфикация и сохранение файлов, загруженных через FTP или HTTP, таким образом освобождается огромное количество времени на ручное расследование инцидента. Кроме того, этот скрипт осуществляет автоматизацию мониторинга IRC трафика за отдельными словами (банк, акаунт, пароль) и предоставляет ежедневные итоги по email.

В данный момент honeysnap – основной РоС под UNIX шел скрипт, и альфа версию можно скачать здесь, а некоторые примеры выходных данных honeysnap лежат тут. Модульная и полностью расширяемая версия, написанная в Python находится в процессе разработки участниками проекта Honeynet и бета релиз выйдет в свет в июне 2005 года.

Дальнейшие Исследования

Информация, представленная в этой статье наталкивает на многие другие пути исследований в области фишинговых атак и мы бы порекомендовали продолжить расследование следующих сфер:

Мы бы хотели расследовать могут ли honeypot’ы помочь в борьбе против спамеров и фишеров. Один возможный проект исследований возможно будет состоять в установке дополнительных honeypot такого же типа, как и рассмотренные ранее или настроенных таким образом, чтобы представлять легкую добычу для спамера (к примеру открытые передатчики SMTP). Анализ дальнейших атак позволит нам узнать больше об анатомии фишерных атак, особенно в области применения ботнэтов, а также обрисовать эволюцию методов фишинга. Другое возможное исследование может состоять в развитии идеи honeypot’ов и изготовлении «клиентской стороны honeypot». Такой вид следующего поколения honeypot произведет реальные изменения во всей Сети, например, новый honeypot будет уметь автоматически следовать по ссылке в спамном сообщении и просматривать контент. Такие honeypot’ы могут быть ботами в IRC каналах или расшаривать/скачивать файлы в пиринговых сетях, еще больше увеличивая наши знания о методах обмана в сетях.

Дополнительно мы планируем исследовать потенциальные методы противостояния и профилактики фишерных атак. Сегодняшние попытки исследования этой области (например The AntiPhishing Group и PhishReport) сконцентрированы на сборе фишерных почтовых сообщений, полученных конечными пользователями. Однако перехват происходит на последней стадии инцидента. Автоматизированный подход к перехвату и реагированию на фишинговые атаки значительно исправил бы ситуацию.

Мы подозреваем что акаунты и пароли продаются группами blackhat, возможно через IRC. Технология Honeynet может использована для перехвата подобных соединений. К тому же, фишинговые утилиты часто сливаются с некоторых постоянно обновляемых центральных веб или FTP серверов. Пользователям также стоит быть более внимательными, и они сами смогут предотвращать атаки.

Дальнейшая работа должна быть направлена на автоматизацию анализа инцидентов, особенно в автоматическом профилировании данных, перехваченный во время таких атак (например автоматическое извлечение IP адреса, реверс DNS, идентификация владельца по IP и сбор всего этого в одну большую базу данных). А в дальнейшем введение новых стандартов для опубликовывания информации о деятельности blackhat и подобных баз данных стало бы важным событием в пользу общественности.

Заключение

В статье было описано несколько примеров реальных фишинговых атак и типичных действий, выполняемых злоумышленниками в течение всей атаки. Вся информация была перехвачена с использованием honeypot, что лишний раз доказало что технология honeynet прекрасно подходит для использования в сфере информационных технологий и судебного анализа. Мы проанализировали составные атаки против honeypot, развернутых Германским и Великобританским проектом Honeynet. В каждом инциденте фишеры атаковали и взламывали системы honeypot, но после этого их действия отличались, однако мы проследили некоторые этапы этих атак:

  1. Утсановка фейковых сайтов, имитирующих официальные сайты известных компаний.
  2. Посылка спама с рекламой фейкового сайта
  3. Установка служб перенаправления веб трафика
  4. Размножение спама через ботнэты

Эти данные помогли нам понять как фишеры обычно ведут себя и некоторые методы, используемые ими для заманивания и обмана своих жертв. Мы поняли что фишинговые атаки могут происходить очень быстро, и ограничены они только временем, затраченным на вторжение в систему и рассылку спама, поэтому такие атаки очень трудно отследить. Наиболее популярными мишенями для фишеров являются блоки IP адресов или малые DSL адреса малых компаний, компьютеры которых редко обновлены по последним требованиям безопасности и атакующих наврядли смогут вычислить. Одновременные атаки на множество небольших организаций также увеличивает отдачу.

В процессе исследования мы поняли, что фишинговые атаки становятся все более распространенными и хорошо организованными. Мы осмотрели архивы фейковых сайтов известных компаний, готовых к запуску и сделали вывод что это работа высокого уровня. Такой контент может бытьв дальнейшем очень быстро впарен пользователям через ботнэты или службы перенапрвления. Проанализированный трафик показал, что в спаме рекламируется вовсе не тот сервер, с которого посылается сообщение, что наталкивает на мысль о параллельной работе нескольких организованных групп.

Наше исследование показывает явную связь между спамом, бонэтами и фишинговых атаках, также как привлечение посредников для сокрытия финансовых махинаций. Чем больше ставки и потенциальный выигрыш, тем более продвинутыми оказываются методы фишинга и число атак будет продолжать расти в течение года. Сокращение числа уязвимых ПК (потенциальных ботов), противостояние объему спама, пресечение организованной преступности и обучение пользователей Интернета возможным рискам со стороны социальной инженерии – основные задачи служб безопасности.

Вопросы и комментарии направляйте в German Honeynet Project и UK Honeynet Project.

comments powered by Disqus