Вы используете устаревший браузер!

Страница может отображаться некорректно.

Основы ботоведения

Основы ботоведения

Другие выпуски этой рубрики (4)
  • добавить в избранное
    Добавить в закладки

В погоне за ботнетами

Прочитали: 1500 Комментариев: 96 Рейтинг: 99

Перехват управляющего сервера злоумышленников – не единственный способ их вычислить. Можно поймать их и на просчетах: рано или поздно киберпреступник ошибается, либо же, уверовав в свою безнаказанность, становится откровенно наглым.

Денис К приобрел автомобиль стоимостью в 70 тыс. евро, но не спешил вносить оплату. Правоохранители нанесли визит должнику в связи с долгом за машину и даже не подозревали, кто на самом деле перед ними стоит. Позднее полицейские сопоставили данные и пришли к выводу, что «должник» является одним из самых разыскиваемых киберпреступников в мире

https://www.securitylab.ru/news/493434.php

Но поговорим о деанонимизации. Злоумышленники, как и обычные пользователи, используют протокол HTTPS. Его широкое внедрение проходило под лозунгом защиты пользователей от внимания спецслужб и свободы от слежки. На практике же все обстоит не совсем так.

HTTPS действительно криптует все данные, включая урл-адреса, которые генерирует клиент. Но HTTPS построен на базе TCP/IP, то есть информацию о том, куда направляется трафик, можно получить в незашифрованном виде. Мы говорим о Mac-адресах, IP-адресах и портах.

#drweb

https://habr.com/post/359222/

Если по-русски: данные, передаваемые посредством HTTPS, действительно защищены, но вот куда они передаются – узнать просто. Дело в том, что до начала шифрования необходимо «договориться» о том, какой сертификат будет использоваться, то есть к какому сайту конкретно будет обращаться компьютер.

Итак, мы получили адрес, к которому идет обращение. Теперь можно узнать данные пользователя – владельца адреса.

Мы уже рассказывали об инструментах, позволяющих по IP-адресам выяснить данные пользователей (напомним, что для этого предназначены whois-сервисы).

С помощью онлайн-инструментов (например, whois.domaintools.com) можно узнать, что это за IP-адрес, кому принадлежит, а простым запросом в bing можно узнать, какие сайты крутятся на этом IP-адресе (например, www.bing.com/search?q=ip:204.79.197.200).

Но, как известно после разнообразных блокировок, на одном IP-адресе может работать несколько сайтов. Как определить, к какому из них обратился нарушитель?

Веб-сервер может хостить несколько сайтов, и у каждого может быть свой SSL-сертификат. Веб-сервер, когда к нему приходит первый запрос, должен знать, с каким именно сайтом необходимо установить соединение. Шифрования ещё нет, потому что его ещё необходимо установить. Значит, ещё до начала шифрования клиент должен передать каким-то образом информацию о домене сайта, чтобы веб-сервер мог зароутить клиентский запрос на необходимый ресурс. Следовательно, необходимо посмотреть на самый первый запрос от клиента на сервер, который инициирует начало самого шифрования. Снова возьмём наш любимый WireShark и посмотрим.

#drweb

#drweb

Здесь мы можем найти кое-что интересное:

  1. Первый запрос действительно содержит доменное имя сайта в незашифрованном виде, с которым будет инициироваться HTTPS-соединение.
  2. 2. Второй запрос возвращает сам сертификат в незашифрованном виде на клиента, который содержит информацию, для какого домена он выдан. В случае с bing сертификат ещё включает и расширенное поле Subject Alternative Name, в котором перечисляются домены, для которого сертификат может быть использован (в Bing-сертификате можно найти даже адреса на staging-среду).

Приведенной выше информации уже достаточно для анализа, но и это еще не все.

Когда в браузере он набирает адрес сайта, то первый запрос идёт не на сервер, где сайт находится, первый запрос идёт на DNS-сервер, чтобы получить IP-адрес для данного домена. DNS-запросы не шифруются, поэтому только слушая DNS-трафик, можно составить историю, какие ресурсы Степан посещал, и по IP-адресу DNS-сервера можно определить даже, где он приблизительно находился в это время.

#drweb

Затем используем синкхолинг, и:

Сотрудники Федерального бюро расследований (ФБР) США обезвредили ботнет, состоящий из сотен тысяч зараженных домашних и офисных маршрутизаторов и других сетевых устройств. ФБР удалось взять данный сервер под контроль и заблокировать его. Помимо этого, теперь при перезагрузке инфицированных маршрутизаторов сигнал посылается не на сервер злоумышленников, а на сервера ФБР, позволяя вычислить все скомпрометированные устройства.

https://www.securitylab.ru/news/493568.php

#ботнет #шифрование #анонимность

Dr.Web рекомендует

Мы не можем рассказывать о том, как именно веб-антивирус Dr.Web SpIDer Gate и модуль Родительского контроля предотвращают доступ к ресурсам злоумышленников, использующих методы шифрования. Но заверяем, что они справляются с этой задачей успешно.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: