Фишинг под микроскопом

(Продолжение. Начало в №37)

Часть 4

В предыдущей статье по материалам SecurityLab первый метод фишинга (через "порутанные" веб-серверы) был описан только в теории. Теперь продемонстрируем эти действия злоумышленников на практике, основываясь на одном из инцидентов, наблюдавшихся в German Honeynet Project (Проект Honeynet - Германия), и еще на одном, замеченном в UK Honeynet Project (Проект Honeynet - Великобритания). В каждом случае были развернуты уязвимые Linux honeypots. Последующий анализ обоих honeypot показал похожие принципы действий хакеров: уязвимые honeypots были обнаружены в процессе сканирования и довольно быстро взломаны, включая заливку заранее спроектированных фальшивых сайтов и закачку утилит массовой рассылки. Также во время атак были "подняты" руткиты и IRC-серверы.

Были обнаружены некоторые интересные различия, но анализ атаки в итоге получился слишком запутанный, так как в инциденте в Великобритании honeypot'ом пользовались сразу несколько групп фишеров. Для более подробного изучения специфических атак на сайте проекта доступна следующая информация:

Overview of Honeynet configurations (Обзор настроек Honeynet);

Details of German honeypot compromise (Тонкости взлома Германского honeypot);

Details of UK honeypot compromise (timeline) (Тонкости взлома honeypot Великобритании - по времени);

Details of UK honeypot compromise (content analysis) (Тонкости взлома honeypot Великобритании - анализ контента).

А в таблице содержится сводка ключевых факторов и различий инцидентов.

Данные Инцидент в Германии Инцидент в Великобритании
Порутанный honeypot Redhat Linux 7.1 x86 Redhat Linux 7.3 x86
Местоположение Корпоративная сеть Германии Центр данных ISP Великобритании;
Метод атаки Авторутер "Superwu"
Массовый сканер Mole
Использовання уязвимость Wu-Ftpd File globbing heap corruption Vulnerability (CVE-2001-0550).NETBIOS SMB trans2open buffer overflow (CAN-2003-0201)
Полученный уровень доступа Root
Установленный руткит Simple rootkit, который бэкдорит некоторые бинарники SHV4 rootkit
Возможные злоумышленники Неизвестны Большие группы с диапазонов кабельных IP-региона Констанца Румынии
Действия веб-сайта Комплексные заранее спланированные фальшивые сайты скачаны, цель - eBay и известные банки США Заранее спланированные фейковые сайты скачаны, цель - известный банк США
Процессы серверной стороны PHP script для утверждения введенных данных PHP script с продвинутым утверждением введенных данных и их последующей сортировкой
Действия E-mail Попытка посылки спама, однако блокировано Honeywall Были посланы только тестовые послания, возможно фишерам из команды. Исправлен синтаксис и представление данных
Метод массовой рассылки Основной PHP-скрипт с небольшим списком почтовых адресов Основной PHP-скрипт с малым списком почтовых адресов - возможно только тестовый
Трафик жертвы, достигший honeypot Отсутствует, рассылка спама и доступ к ложному сайту закрыт 265 HTTP запросов за 4 дня, не являющихся следствием спама, посланного с сервера (никаких данных не было введено)

Из наблюдения за нажатиями клавиш фишера в обоих инцидентах (перехвачено с помощью Sebek), стало ясно, что нападающие подключались к заранее подготовленным бэкдорам и немедленно приступали к развертыванию фишерских сайтов. Атакующие оказались знакомы со средой сервера, что означает, что они состояли в группе тех, кто взламывал honeypot'ы и что попытка фишинга была организована на достойном уровне. Так как залитый веб-контент часто ссылался на другие веб-серверы и IP-адреса, вполне вероятно, что действия злоумышленников были направлены сразу на несколько серверов.

Анализ контента фишинговых сайтов показал, что преступники нацеливались сразу на несколько известных онлайновых фирм. Итак, фальшивый сайт "поднят" и находится в боевой готовности. Листинги директорий просматривались в процессе FTP-сессий, что также подтверждает, что атакующие сильно увлеклись спамом и фишингом. Просмотр веб-контента и средств доставки сообщений, хранящихся на центральном сервере, показал, что злоумышленники намеревались атаковать eBay, AOL и несколько известных банков США (в случае инцидента в Великобритании). Такие индивидуальные атаки вряд ли остаются "изолированными" событиями, ведь спам, посылавшийся во время инцидентов, направлял жертв не только на взломанный honeypot. Это показывает, что фишеры одновременно применяют множество фальшивых веб-серверов и посылают спам сразу с нескольких систем. Параллельные фишинговые операции были замечены по времени первого входящего HTTP-запроса на фишинговый контент после того, как honeypot Великобритании был порутан:

2004-07-23 21:23:14.118902 XXX.XXX.XXX.XXX -> 10.2.2.120 HTTP GET /.internetBankingLogon HTTP/1.1.

Этот входящий HTTP-запрос к honeypot появился до того, как атакующие закончили установку фальшивого онлайнового банка на honeypot, и подтверждает предположение о том, что атакующий прекрасно знал что этот сервер можно было использовать для фишинга. Спам с рекламой фальшивого сайта уже был в процессе рассылки с другого хоста, в тот момент, когда злоумышленник устанавливал свой веб-сайт.

Список DNS доменов, стран и операционных систем, посещающих фишинговый контент honeypot Великобритании оказался на удивление велик. До того как honeypot "уронили", ни один запрос вида HTTP POST к PHP-скрипту, обрабатывающему пользовательские данные, не был разрешен, и никакие пользовательские данные не были раскрыты. Во всех инцидентах были информированы как организация, на которую нацеливалась атака, так и местные CERT. Во всех случаях никакие данные, за которыми охотились фишеры, не были получены участниками Honeynet Project или Research Alliance.

Данные, полученные в ходе анализа этих двух инцидентов, показали, что фишеры активны и хорошо организованы, быстро ориентируются в порутанных компьютерных системах и одновременно атакуют по несколько известных в онлайновом бизнесе организаций. Постоянно происходит так, что в число пользователей e-mail входят банки и онлайн-магазины, поэтому они тоже рискуют стать жертвами фишинга.

(Продолжение следует)

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

40 за 2005 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!