03.07.2005

«най —воего ¬рага в Ћицо Ц ‘ишинг »ли „то —крываетс€ за јтаками ‘ишинга, часть 2, общие темы

ћы изучили несколько общих с фишингом тем во врем€ исследовани€ фишинговых атак, и €сно то, что злоумышленники используют смесь утилит и методов дл€ увеличени€ своих шансов на успех. —ейчас мы рассмотрим два таких метода Ц массовое сканирование и комбинаци€ атак.

ћы изучили несколько общих с фишингом тем во врем€ исследовани€ фишинговых атак, и €сно то, что злоумышленники используют смесь утилит и методов дл€ увеличени€ своих шансов на успех. —ейчас мы рассмотрим два таких метода Ц массовое сканирование и комбинаци€ атак.

ћассовое —канирование

јнализ некоторого числа порутанных honeypot наводит на мысль о том, что эти системы были взломаны с использованием каких-либо автоматизированных скриптов или эксплоитов, также известных как авторутеры. ¬ обоих инцидентах, описанных выше, после взлома honeypotТов на серверы были залиты авторутеры. ƒалее атакующие попытались просканировать большой диапазон IP адресов на предмет наличи€ одинаковых у€звимых служб (использовалс€ сканер "superwu" в инциденте в √ермании и "mole" в ¬еликобритании). ѕерехваченные нажати€ клавиш в инциденте в ¬еликобритании представлены ниже. ¬ них показаны разновидности массового сканировани€, предприн€того с порутанных honeypot. Ќе забывайте, что благодар€ настройкам honeynet, исход€щий трафик был блокирован и атаки не удались.

јтакующий распаковывает сканер и пытаетс€ просканировать сеть класса ¬:

[2004-07-18 15:23:31 bash 0]tar zxvf mole.tgz
[2004-07-18 15:23:33 bash 0]cd mole
[2004-07-18 15:23:38 bash 0]./mazz 63.2
[2004-07-18 15:24:04 bash 0]./mazz 207.55
[2004-07-18 15:25:13 bash 0]./scan 80.82

“еперь он пытаетс€ применить сплойт к потенциально у€звимым серверам:

 [2004-07-19 11:56:46 bash 0]cd mole
[2004-07-19 11:56:50 bash 0]./root -b 0 -v ns1.victim.net
[2004-07-19 11:57:26 bash 0]./root -b 0 -v 66.90.NNN.NNN

«лоумышленник вернулс€ немного погод€ и у видел, что список порутанных серверов был пуст:

[2004-07-23 08:13:18 bash 0]cd mole
[2004-07-23 08:13:20 bash 0]ls
[2004-07-23 08:13:25 bash 0]cat hacked.servers

“еперь он пробует просканить несколько диапазонов адресов сети класса ¬ и затем протестировать эксплоит на некоторых цел€х:

[2004-07-24 10:24:17 bash 0]cd mole
[2004-07-24 10:24:19 bash 0]./scan 140.130
[2004-07-24 10:24:27 bash 0]./scan 166.80
[2004-07-24 10:25:36 bash 0]./scan 166.4
[2004-07-24 10:26:23 bash 0]./scan 139.93
[2004-07-24 10:27:18 bash 0]./scan 133.200
[2004-07-24 10:36:37 bash 0]./try 202.98.XXX.XXX
[2004-07-24 10:38:17 bash 0]./try 202.98.YYY.YYY
[2004-07-24 10:38:27 bash 0]./try 202.98.YYY.YYY

«аметьте, что в дальнейшем примере хосты, которые пытаетс€ взломать хакер не вход€т в диапозоны сканируемых адресов. Ёто лишний раз доказывает координированные и параллельные сканировани€.

¬ ходе дальнейшего исследовани€ файла mole.tgz, скачанного атакующими в ¬еликобритании, в рутовой директории было найдено несколько текстовых файлов от распакованного авторутера. ¬ файлах содержались настройки и логии предидущего сканировани€ на "grabbb2.x и samba2.2.8 у€звимости". “акже в файлах были найдены сведени€ о 42 случа€х атак на другие хосты, плюс доказательства массового сканировани€ диапазонов IP адресов сетей класса ¬, что оп€ть же доказало, что рассмотренный инцидент был лишь частью большей и более организованной атаки на подобные системы. ѕример лога из mole с точки зрени€ атакующего представлен здесь.

Ќекоторые утилиты массового сканировани€, перехваченные с порутанных honeypot не путешествуют по просторам »нтернета, что говорит о некотором уровне знаний атакующих Ц а знани€ эти намного выше, чем р€дового скрипт-кидди, или эти реб€та состо€т в скрытном обществе, не выставл€ющих свои творени€ на публичных форумах. ќп€ть же, стоит догадыватьс€ что все это часть более организованной атаки.

 омбинаци€ јтак

¬ ходе нашего исследовани€ мы также заметили что фишеры часто совмещают три метода атак, рассмотренных в этой статье, иногда даже сочетают составные виды атак дл€ обеспечени€ резерва и защиты собственной фишерной инфраструктуры через осуществление двух этажной конфигурации сети. –исунок ниже показывает возможную топологию фишерной сети:

¬ этом примере центральный веб сервер хостит физическое фишерное содержимое, чаще всего обслужива€ несколько сайтов (например фишерный сайт eBay в директории/ebay и PayPal в /paypal). Ќесколько взломанных удаленных компьютеров перенаправл€ют вход€щий на 80 TCP порт HTTP трафик на центральный веб сервер при помощи перенаправител€ redir. ¬ этом случае атакующий имеет некоторые преимущества по сравнению с использованием одиночного фишерного сайта:

  • ≈сли взлом одной из систем обнаружен, то жертва, скорее всего, отключит машину от сети и переустановит систему. ќднако это не будет фатальной потерей, т.к. главный сервер все еще будет в он лайне, а другие взломанные машины также будут перенаправл€ть трафик.
  • ≈сли обнаружен взлом центрального фишерного сервера, то систему также отключат от сети. “еперь фишер может легко подн€ть новый сайт на свежевзломанной системе и поправить настройки существующей фишерной сети.
  • ’ост redir имеет довольно таки гибкие настройки и может быть легко перенастроен на перенаправление трафика на другой фейковый сервер. Ёто сокращает врем€ между взломом системы и моментом пуска фишерного сайта, а также увеличивает длину окна атаки, в котором фишерные атаки могут быть осуществлены.

»спользование этих методов далеко не впервые подтверждает хорошо организованную работу грамотных хакеров, гораздо более высокого уровн€, чем скрипт-киди. ѕохожие модели сети часто используютс€ большинством хостинговых компаний и провайдерами.

ƒальнейшие Ќаблюдени€ Ц “рансфер ƒенежных —редств

Ќаше исследование также прольет свет на то, как фишеры используют добытую информацию об банковых акаунтах, например, номер акаунта с присвоенным TAN (transaction number Ц используетс€ в электронных банковских системах). ¬св€зи с тем, что трансфер всей зарубежной валюты мониторитс€ банками, у фишеры не могут просто просто пересылать большие суммы денег и не быть замеченными. —ледовательно, фишерам приходитс€ использовать посредников дл€ трансфера денег Ц в два этапа ‘ишер переводит деньги со счета жертвы на счет посредника в той же стране. ј посредник снимает нарубленное добро со своего счета (с меньшим процентом быть замеченным) и отправл€ет зелень ‘ишеру по обычной почте.  онечно, посредника могут и присечь, но когда деньги уже в пути к фишеру, они особо не рискуют, т.к. их маршрут может легко изменить еще один посредник. ¬от пример финансовых махинаций, скрывающихс€ за фишерными атаками:

«дравствуйте!
ћы ищем людей из ≈вропы, которые смогут
ќтправл€ть/ѕолучать банковские переводы с наших продаж
от ≈вропейских клиентов. „тобы не платить ЌјЋќ√» за
интернациональные переводы в –оссии. ћы предлагаем
10% от всех денег, прошедших через ¬ас и об€зуемс€
обеспечить все затраты за пересылку денежных фондов
обратно. ѕримерное количество денег, которое будет
проходить через ¬аш акаунт ежедневно составит около
1000 евро. ¬с€ активность €вл€етс€ легальной в ≈вропе.
«аполните эту форму: http://XXX.info/index.php (перед
заполнением установите пожалуйста yahoo! Messenger
или msn), ¬ы получите полное описание очень быстро.
 
Hello!
We finding Europe persons, who can Send/Receive bank wires
from our sellings, from our European clients. To not pay
TAXES from international transfers in Russia. We offer 10%
percent from amount u receive and pay all fees, for sending
funds back.Amount from 1000 euro per day. All this activity
are legal in Europe.
Fill this form: http://XXX.info/index.php (before filling
install yahoo! messenger please or msn), you will recieve
full details very quickly.
 
 
Wir, europäische Personen findend, die Bankleitungen
davon Senden/erhalten können unsere Verkäufe, von
unseren Kunden von Deutschland. STEUERN von internationalen
Übertragungen in Russland nicht zu bezahlen. Wir
erhält das Prozent des Angebots 10 % vom Betrag und
bezahlt alle Schulgelder, um Kapital zurück zu senden.
Betrag von 1000 Euro pro Tag. Diese ganze Tätigkeit
ist in Europa gesetzlich.
Füllen Sie diese Form: http://XXX.info/index.php (bevor
die Füllung Yahoo installiert! Bote bitte oder msn), Sie
recieve volle Details sehr.
 
Ѕлагодарим за сотрудничество, FINANCIE LTD.

Ќа самом деле производилс€ фиговенький перевод с английского на немецкий, причем похоже на работу компьютерного переводчика (русский вариант предоставлен дл€ читател€), что говорит о том, что атакующие родной €зык злоумышленников не английский. “.к. деньги перевод€тс€ в –оссию, возможно атакующий там и живет. “акое поведение в последнее врем€ встречаетс€ все чаще.

Honeysnap Ц ѕомощь в јнализе »нцидента

 огда мы начали анализировать данные из ¬еликобританской honeynet было очевидно одно Ц в св€зи с синхронными атаками разных групп blackhat, больша€ часть времени была бы потрачена на извлечение и подготовку данных из сетевых потоков перед детальным анализом. »звлечение данных процесс долгий и скучный и, если проводить его вручную, он займет много времени, которое можно было бы потратить на анализ данных. “ребовалось автоматизированное решение.

—крипт honeysnap, написанный David Watson (проект Honeynet, ¬еликобритани€), пришел на ум и был сконструирован дл€ обработки данных на дневной основе и производить простой и краткий отчет дл€ дальнейшего ручного анализа. Ќoneysnap разюивает все данные каждого из honeypot и представл€ет их в виде логов исход€щих HTTP и FTP GETs, IRC и нажатий клавиш в Sebek. ѕересборка TCP потока дл€ просмотра интересных соединений также автоматизирована, как и извлечение, идентфикаци€ и сохранение файлов, загруженных через FTP или HTTP, таким образом освобождаетс€ огромное количество времени на ручное расследование инцидента.  роме того, этот скрипт осуществл€ет автоматизацию мониторинга IRC трафика за отдельными словами (банк, акаунт, пароль) и предоставл€ет ежедневные итоги по email.

¬ данный момент honeysnap Ц основной –о— под UNIX шел скрипт, и альфа версию можно скачать здесь, а некоторые примеры выходных данных honeysnap лежат тут. ћодульна€ и полностью расшир€ема€ верси€, написанна€ в Python находитс€ в процессе разработки участниками проекта Honeynet и бета релиз выйдет в свет в июне 2005 года.

ƒальнейшие »сследовани€

»нформаци€, представленна€ в этой статье наталкивает на многие другие пути исследований в области фишинговых атак и мы бы порекомендовали продолжить расследование следующих сфер:

ћы бы хотели расследовать могут ли honeypotТы помочь в борьбе против спамеров и фишеров. ќдин возможный проект исследований возможно будет состо€ть в установке дополнительных honeypot такого же типа, как и рассмотренные ранее или настроенных таким образом, чтобы представл€ть легкую добычу дл€ спамера (к примеру открытые передатчики SMTP). јнализ дальнейших атак позволит нам узнать больше об анатомии фишерных атак, особенно в области применени€ ботнэтов, а также обрисовать эволюцию методов фишинга. ƒругое возможное исследование может состо€ть в развитии идеи honeypotТов и изготовлении Ђклиентской стороны honeypotї. “акой вид следующего поколени€ honeypot произведет реальные изменени€ во всей —ети, например, новый honeypot будет уметь автоматически следовать по ссылке в спамном сообщении и просматривать контент. “акие honeypotТы могут быть ботами в IRC каналах или расшаривать/скачивать файлы в пиринговых сет€х, еще больше увеличива€ наши знани€ о методах обмана в сет€х.

ƒополнительно мы планируем исследовать потенциальные методы противосто€ни€ и профилактики фишерных атак. —егодн€шние попытки исследовани€ этой области (например The AntiPhishing Group и PhishReport) сконцентрированы на сборе фишерных почтовых сообщений, полученных конечными пользовател€ми. ќднако перехват происходит на последней стадии инцидента. јвтоматизированный подход к перехвату и реагированию на фишинговые атаки значительно исправил бы ситуацию.

ћы подозреваем что акаунты и пароли продаютс€ группами blackhat, возможно через IRC. “ехнологи€ Honeynet может использована дл€ перехвата подобных соединений.   тому же, фишинговые утилиты часто сливаютс€ с некоторых посто€нно обновл€емых центральных веб или FTP серверов. ѕользовател€м также стоит быть более внимательными, и они сами смогут предотвращать атаки.

ƒальнейша€ работа должна быть направлена на автоматизацию анализа инцидентов, особенно в автоматическом профилировании данных, перехваченный во врем€ таких атак (например автоматическое извлечение IP адреса, реверс DNS, идентификаци€ владельца по IP и сбор всего этого в одну большую базу данных). ј в дальнейшем введение новых стандартов дл€ опубликовывани€ информации о де€тельности blackhat и подобных баз данных стало бы важным событием в пользу общественности.

«аключение

¬ статье было описано несколько примеров реальных фишинговых атак и типичных действий, выполн€емых злоумышленниками в течение всей атаки. ¬с€ информаци€ была перехвачена с использованием honeypot, что лишний раз доказало что технологи€ honeynet прекрасно подходит дл€ использовани€ в сфере информационных технологий и судебного анализа. ћы проанализировали составные атаки против honeypot, развернутых √ерманским и ¬еликобританским проектом Honeynet. ¬ каждом инциденте фишеры атаковали и взламывали системы honeypot, но после этого их действи€ отличались, однако мы проследили некоторые этапы этих атак:

  1. ”тсановка фейковых сайтов, имитирующих официальные сайты известных компаний.
  2. ѕосылка спама с рекламой фейкового сайта
  3. ”становка служб перенаправлени€ веб трафика
  4. –азмножение спама через ботнэты

Ёти данные помогли нам пон€ть как фишеры обычно ведут себ€ и некоторые методы, используемые ими дл€ заманивани€ и обмана своих жертв. ћы пон€ли что фишинговые атаки могут происходить очень быстро, и ограничены они только временем, затраченным на вторжение в систему и рассылку спама, поэтому такие атаки очень трудно отследить. Ќаиболее попул€рными мишен€ми дл€ фишеров €вл€ютс€ блоки IP адресов или малые DSL адреса малых компаний, компьютеры которых редко обновлены по последним требовани€м безопасности и атакующих навр€дли смогут вычислить. ќдновременные атаки на множество небольших организаций также увеличивает отдачу.

¬ процессе исследовани€ мы пон€ли, что фишинговые атаки станов€тс€ все более распространенными и хорошо организованными. ћы осмотрели архивы фейковых сайтов известных компаний, готовых к запуску и сделали вывод что это работа высокого уровн€. “акой контент может бытьв дальнейшем очень быстро впарен пользовател€м через ботнэты или службы перенапрвлени€. ѕроанализированный трафик показал, что в спаме рекламируетс€ вовсе не тот сервер, с которого посылаетс€ сообщение, что наталкивает на мысль о параллельной работе нескольких организованных групп.

Ќаше исследование показывает €вную св€зь между спамом, бонэтами и фишинговых атаках, также как привлечение посредников дл€ сокрыти€ финансовых махинаций. „ем больше ставки и потенциальный выигрыш, тем более продвинутыми оказываютс€ методы фишинга и число атак будет продолжать расти в течение года. —окращение числа у€звимых ѕ  (потенциальных ботов), противосто€ние объему спама, пресечение организованной преступности и обучение пользователей »нтернета возможным рискам со стороны социальной инженерии Ц основные задачи служб безопасности.

¬опросы и комментарии направл€йте в German Honeynet Project и UK Honeynet Project.

или введите им€

CAPTCHA