Исследователи Ицик Котлер и Ифтач Ян Амит продемонстрировали как бот сети, и их владельцы могут поддерживать при помощи телефонной конференции VoIP.
Исследователи Ицик Котлер (Itzik Kotler) и Ифтач Ян Амит (Iftach Ian Amit), принимающие участие в ежегодной конференции Defcon, продемонстрировали как бот-сети и их владельцы могут поддерживать связь и обмениваться данными при помощи телефонной конференции
VoIP. Такая коммуникация дает возможность владельцам бот-сетей передавать команды, используя таксофоны и одноразовые мобильные телефоны, что подразумевает максимальную анонимность.
Использование VoIP технологий устраняет один из основных способов противодействия атакам бот сетей – отключение контролирующих серверов. Исследователи утверждают, что бот-мастер может общаться с зомби-машинами, не используя сеть Интернет вообще, если зомби находятся внутри корпоративной сети. Кроме того VoIP-тактика использует технологию, которая легко обходит корпоративные брандмауэры и DLP системы, следовательно выявить несанкционированную утечку данных довольно сложно. Недостатком использования VoIP клиента в качестве канала передачи команд является малое количество зомби-компьютеров, которые можно контролировать. Кроме того скорость передачи данных, которые, к примеру, хотят похитить злоумышленники, ограничена возможностями телефонной системы.
Для демонстрации атаки исследователи использовали Asterisk в качестве PBX шлюза, виртуальную ОС в качестве зомби и смартфон BlackBerry для осуществления конференцсвязи с зараженным ПК. В качестве программного обеспечения для обмена информацией использовалось Moshi Moshi – программное обеспечение, спосодное преобразовывать команды в тональные сигналы для отправки и приема данных.
Исследователи утверждают, что демонстрация, проведенная на Defcon, является всего доказательством концепции и технология может работать гораздо лучше. Например, использование современных технологий в этой схеме может увеличить скорость хищения данных. Для защиты от VoIP атак специалисты рекомендуют разграничить VoIP сервисы и корпоративную сеть, а также вести мониторинг VoIP активности для обнаружения несанкционированного использования конференцсвязи, например, в нерабочее время.