Defcon: VoIP клиенты являются хорошей базой для управления бот-сетями

Использование VoIP технологий устраняет один из основных способов противодействия атакам бот сетей – отключение контролирующих серверов. Исследователи утверждают, что бот-мастер может общаться с зомби-машинами, не используя сеть Интернет вообще, если зомби находятся внутри корпоративной сети. Кроме того VoIP-тактика использует технологию, которая легко обходит корпоративные брандмауэры и DLP системы, следовательно выявить несанкционированную утечку данных довольно сложно. Недостатком использования VoIP клиента в качестве канала передачи команд является малое количество зомби-компьютеров, которые можно контролировать. Кроме того скорость передачи данных, которые, к примеру, хотят похитить злоумышленники, ограничена возможностями телефонной системы.  

Для демонстрации атаки исследователи использовали Asterisk в качестве PBX шлюза, виртуальную ОС в качестве зомби и смартфон BlackBerry для осуществления конференцсвязи с зараженным ПК. В качестве программного обеспечения для обмена информацией использовалось Moshi Moshi – программное обеспечение, спосодное преобразовывать команды в тональные сигналы для отправки и приема данных.  

Исследователи утверждают, что демонстрация, проведенная на Defcon, является всего доказательством концепции и технология может работать гораздо лучше. Например, использование современных технологий в этой схеме может увеличить скорость хищения данных. Для защиты от VoIP атак специалисты рекомендуют разграничить VoIP сервисы и корпоративную сеть, а также вести мониторинг VoIP активности для обнаружения несанкционированного использования конференцсвязи, например, в нерабочее время.