Создание анонимного двустороннего канала связи — постоянная головная боль для разработчиков вредоносного ПО. В этой статье мы на примерах разберем, как сервисы, разработчики которых используют недостаточно сильную защиту, могут превратиться в такой канал.
Как только не изворачиваются злоумышленники, чтобы скрытно передавать данные между малварью и командным центром (C&C, или, как их теперь модно называть на военный лад, C2). Сторонние сервисы здесь зачастую представляются самым удобным вариантом. В ход идут твиты, коммиты на GitHub или отдельные репозитории; даже комменты к видео на YouTube могут оказаться тайными посланиями между машинами. Использование таких сервисов открывает для оператора ботнета новые возможности. В частности, он может не беспокоиться о смене адресов управляющих серверов — достаточно просто оставить твит, в приложенной к которому картинке будет содержаться актуальная информация.
У одностороннего канала связи есть свои недостатки. Во-первых, такого бота легче выявить по образцу трафика. Во-вторых, аккаунт на сервисе могут заблокировать или он может попасть в поле зрения исследователей. Это сильно затруднит дальнейшие операции.
Создание безопасного двустороннего канала связи с использованием сторонних сервисов — задача нетривиальная. Если не прибегать к каким-либо хакам, то все, что можно предпринять в таком случае, — это раздать ботам учетные данные, которые те будут использовать для связи с командным сервером. То есть построить что-то вроде такой схемы.
Этот вариант накладывает целый ряд ограничений на проводимые операции. Так, необходимо обеспечить боту возможность оперативно обновлять учетные данные от сервиса, если старые заблокируют. Это не так сложно организовать с помощью одностороннего канала связи. Но проблема выходит на новый уровень, когда число ботов начинает расти. Большое количество запросов с разных IP к одному аккаунту будет как минимум подозрительным. Можно попытаться замести следы, реализовав систему распространения учетных записей среди ботов — чтобы они передавали их друг другу. Это значительно сложнее и создает дополнительные статьи расходов для киберкриминального бизнеса.
Но что, если поискать возможность обходиться без учетных записей? В таком случае из диаграммы выше можно было бы убрать все, что связано с логинами и паролями. И это приводит нас к анонимным сервисам.
Один из привлекательных вариантов — использовать сервисы анонимных вопросов и ответов типа Ask.fm, Sprashivai.ru и прочих. Вот почему они так хорошо годятся:
С первыми двумя пунктами все понятно. HTTP практически везде разрешен, а HTTPS позволит еще и замаскировать обращения к сервису. Что касается Application Control и всего такого, то как минимум трафик от ботов будет считаться «развлекательным». Это скорее создаст проблемы для сотрудника, на компьютере которого работает бот, чем реально приведет к раскрытию.
В последнем пункте мне довелось убедиться лично. В феврале 2017 года я отправил сотрудникам техподдержки сервиса Sprashivai.ru информацию о том, что их защита от спама не работает, а предпринятые после слива меры безопасности эту самую безопасность подрывают. Для меня не стало неожиданностью то, что они полностью проигнорировали мой репорт. Не думаю, что ситуация с другими сервисами кардинально отличается.
Как именно реализуется двусторонний канал связи на основе таких сервисов? Эту задачу можно разбить на два этапа:
Начнем по порядку.
На этом этапе ничего особенно сложного. Большая часть малвари, которая использует какие-либо сервисы для обеспечения одностороннего канала связи, работает именно по этой схеме. В контексте сервисов вопросов и ответов это реализуется, например, следующим образом:
Здесь есть несколько интересных моментов. Когда-нибудь малварь будет обнаружена, и используемый аккаунт раскроют и заблокируют, как бы его ни защищал оператор. Поэтому в таких случаях прибегают к механизмам автоматического создания учетных записей — эти механизмы уже хорошо отработаны авторами вредоносного ПО и используются для создания доменных имен.
Это приводит разработчика вредоноса к следующей проблеме: чтобы автоматизировать регистрацию аккаунтов (да и авторизации тоже), скорее всего, потребуется найти метод обхода капчи. Рассмотрим эти методы на примерах выбранных нами сервисов.
Cтатьи из последних выпусков журнала можно покупать отдельно только через два месяца после публикации. Чтобы читать эту статью, необходимо купить подписку.
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке
1 год3490 р. Экономия 1400 рублей! |
1 месяц640 р. 25-30 статей в месяц |
Уже подписан?
Читайте также
Последние новости