В погоне за ботнетами
31 мая 2018
Перехват управляющего сервера злоумышленников – не единственный способ их вычислить. Можно поймать их и на просчетах: рано или поздно киберпреступник ошибается, либо же, уверовав в свою безнаказанность, становится откровенно наглым.
Денис К приобрел автомобиль стоимостью в 70 тыс. евро, но не спешил вносить оплату. Правоохранители нанесли визит должнику в связи с долгом за машину и даже не подозревали, кто на самом деле перед ними стоит. Позднее полицейские сопоставили данные и пришли к выводу, что «должник» является одним из самых разыскиваемых киберпреступников в мире
Но поговорим о деанонимизации. Злоумышленники, как и обычные пользователи, используют протокол HTTPS. Его широкое внедрение проходило под лозунгом защиты пользователей от внимания спецслужб и свободы от слежки. На практике же все обстоит не совсем так.
HTTPS действительно криптует все данные, включая урл-адреса, которые генерирует клиент. Но HTTPS построен на базе TCP/IP, то есть информацию о том, куда направляется трафик, можно получить в незашифрованном виде. Мы говорим о Mac-адресах, IP-адресах и портах.
Если по-русски: данные, передаваемые посредством HTTPS, действительно защищены, но вот куда они передаются – узнать просто. Дело в том, что до начала шифрования необходимо «договориться» о том, какой сертификат будет использоваться, то есть к какому сайту конкретно будет обращаться компьютер.
Итак, мы получили адрес, к которому идет обращение. Теперь можно узнать данные пользователя – владельца адреса.
Мы уже рассказывали об инструментах, позволяющих по IP-адресам выяснить данные пользователей (напомним, что для этого предназначены whois-сервисы).
С помощью онлайн-инструментов (например, whois.domaintools.com) можно узнать, что это за IP-адрес, кому принадлежит, а простым запросом в bing можно узнать, какие сайты крутятся на этом IP-адресе (например, www.bing.com/search?q=ip:204.79.197.200).
Но, как известно после разнообразных блокировок, на одном IP-адресе может работать несколько сайтов. Как определить, к какому из них обратился нарушитель?
Веб-сервер может хостить несколько сайтов, и у каждого может быть свой SSL-сертификат. Веб-сервер, когда к нему приходит первый запрос, должен знать, с каким именно сайтом необходимо установить соединение. Шифрования ещё нет, потому что его ещё необходимо установить. Значит, ещё до начала шифрования клиент должен передать каким-то образом информацию о домене сайта, чтобы веб-сервер мог зароутить клиентский запрос на необходимый ресурс. Следовательно, необходимо посмотреть на самый первый запрос от клиента на сервер, который инициирует начало самого шифрования. Снова возьмём наш любимый WireShark и посмотрим.
Здесь мы можем найти кое-что интересное:
- Первый запрос действительно содержит доменное имя сайта в незашифрованном виде, с которым будет инициироваться HTTPS-соединение.
- 2. Второй запрос возвращает сам сертификат в незашифрованном виде на клиента, который содержит информацию, для какого домена он выдан. В случае с bing сертификат ещё включает и расширенное поле Subject Alternative Name, в котором перечисляются домены, для которого сертификат может быть использован (в Bing-сертификате можно найти даже адреса на staging-среду).
Приведенной выше информации уже достаточно для анализа, но и это еще не все.
Когда в браузере он набирает адрес сайта, то первый запрос идёт не на сервер, где сайт находится, первый запрос идёт на DNS-сервер, чтобы получить IP-адрес для данного домена. DNS-запросы не шифруются, поэтому только слушая DNS-трафик, можно составить историю, какие ресурсы Степан посещал, и по IP-адресу DNS-сервера можно определить даже, где он приблизительно находился в это время.
Затем используем синкхолинг, и:
Сотрудники Федерального бюро расследований (ФБР) США обезвредили ботнет, состоящий из сотен тысяч зараженных домашних и офисных маршрутизаторов и других сетевых устройств. ФБР удалось взять данный сервер под контроль и заблокировать его. Помимо этого, теперь при перезагрузке инфицированных маршрутизаторов сигнал посылается не на сервер злоумышленников, а на сервера ФБР, позволяя вычислить все скомпрометированные устройства.
Антивирусная правДА! рекомендует
Мы не можем рассказывать о том, как именно веб-антивирус Dr.Web SpIDer Gate и модуль Родительского контроля предотвращают доступ к ресурсам злоумышленников, использующих методы шифрования. Но заверяем, что они справляются с этой задачей успешно.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
microlab
18:54:41 2020-04-03
e1
08:31:47 2019-03-02
vlad57
18:50:45 2018-12-19
Денисенко Павел Андреевич
21:28:52 2018-07-27
a13x
09:58:23 2018-06-21
DrKV
21:49:17 2018-06-01
Я без вас всех скучал... :-)
Вячeслaв
13:55:38 2018-06-01
eaglebuk
09:00:06 2018-06-01
achemolganskiy
05:43:26 2018-06-01
razgen
00:39:49 2018-06-01
МЕДВЕДЬ
22:56:10 2018-05-31
Lia00
22:34:59 2018-05-31
duduka
22:18:01 2018-05-31
stavkafon
22:03:07 2018-05-31
orw_mikle
21:49:37 2018-05-31
Andromeda
21:46:52 2018-05-31
Шалтай Александр Болтай
21:38:12 2018-05-31
DrKV
21:36:32 2018-05-31
Шалтай Александр Болтай
21:33:39 2018-05-31
В...а
21:00:51 2018-05-31
razgen
21:00:32 2018-05-31
Я уже не удивляюсь, а лишь только восхищаюсь.
@Alexander уже не в первый раз выдаёт поэтические зарисовки в соответствии с текущей темой.
vla_va
20:50:28 2018-05-31
НинаК
20:39:04 2018-05-31
marisha-san
20:35:39 2018-05-31
Сергей
20:27:47 2018-05-31
Dvakota
20:15:06 2018-05-31
Marsn77
19:57:05 2018-05-31
Littlefish
19:39:56 2018-05-31
Littlefish
19:38:41 2018-05-31
ek
18:43:29 2018-05-31
zsergey
18:38:03 2018-05-31
Sasha50
18:26:24 2018-05-31
Sasha50
18:21:47 2018-05-31
Alexander
18:17:31 2018-05-31
В тиши кабинетной
На картах Инета
Не сразу заметишь
Опасность кювета
Но наш аналитик
От Доктора Веба
В лукавых скриптах
Заметит зловреда
Что боты, руткиты
И всякая грязь?!
Им будет преграда!
Подъехали? - Слазь!
Обнова поспела
Одиннадцать - пять
Наш щит обновился!
Нам радость и пляс!
Sasha50
18:15:13 2018-05-31
Andromeda
18:12:07 2018-05-31
Andromeda
18:05:59 2018-05-31
kva-kva
18:04:20 2018-05-31
Damir
17:50:06 2018-05-31
Альфа
17:14:46 2018-05-31
Татьяна
17:10:45 2018-05-31
Дмитрий
16:25:35 2018-05-31
Masha
16:22:27 2018-05-31
mk.insta
16:14:51 2018-05-31
La folle
15:58:53 2018-05-31
uaHwElAqIW
15:03:43 2018-05-31
Х...р
14:58:45 2018-05-31
Ruslan
14:27:33 2018-05-31
Oleg
13:36:08 2018-05-31
Любитель пляжного футбола
13:30:15 2018-05-31