На мгновение поставим себя на место киберпреступника. Вы собрали множество инструментов (Malware), создали инфраструктуру (сервера управления и контроля (C&C)) и у вас налажен процесс монетизации ваших усилий. Вы просыпаетесь утром, а домены, на которых вы тщательно строили свой malware и которые используются для управления и контроля, «захвачены» и остановлены. Какие-то исследователи кибербезопасности взяли их под контроль, и полностью остановили ваш зароботок. Это, несомненно, будет хорошей новостью для тех, кто читает эту статью, но для киберпреступников это большая неудача. Эти «захваты» были стимулом для самых впечатляющих прорывов в разработке вредоносных технологий в последнем десятилетии.
Сопротивляемость С&C серверов к “захватам”
Сохранение контроля над системой является главной задачей после удачного заражения компьютера злоумышленниками с использованием эксплойтов или социальной инженерии. Антивирусные программы, запущенные на компьютере, будут пытаться уничтожить угрозу, а домены С&C серверов и их IP-адреса будут добавлены в черные списки и заблокированы в сетях по всему миру. Многие авторы вредоносных программ уже начали строить сложные механизмы для того, чтобы malware приобретали сопротивляемость блокам и «захватам». Наиболее инновационными механизмами сопротивляемости «захватам» являются:
- Пиринговые сети (Р2Р): они предпочтительнее, чем использование единичных (или малых) по количеству сбоев портов для осуществления управления и контроля. Р2Р-боты соединяются с другими инфицированными системами, которые могут передавать команды от атакующего;
- Домен генерирующие алгоритмы (DGA): зачем использовать один домен для управления и контроля, когда можно использовать 100, 1000, или больше? Домены С&C серверов, которые генерируются алгоритмом DGA, изменяются с течением времени. Зачастую, киберпреступнику нужно зарегистрировать лишь один из этих доменов, чтобы обеспечить контроль над сетью. Один из наиболее известных ботнетов, основанный на DGA – это Conficker. В своем финальном варианте он генерирует 50 000 возможных домена в день.
Эти механизмы часто используется только когда первичный механизм C&C был «захвачен», и его использование делает «захват» ботнета гораздо более сложной задачей.
Компрометация I2P
В прошлом году выделили два семейства malware: CryptoWall 2.0 и Dyreza/Dyre. CryptoWall является одним из нескольких семей вымогателей. Он приносит доход атакующему следующим образом: шифрует файлы на зараженном компьютере с помощью закрытого ключа, который находится у злоумышленника, затем злоумышленник требует выкуп (обычно около $ 500), чтобы предоставить ключ, который расшифрует файлы. В октябре CryptoWall 2.0 начал использовать анонимную сеть Tor, чтобы обслуживать страницы, через которые зараженные пользователи получали возможность дешифрации своих файлов. Таким образом Tor был скомпрометирован, но C&C сервера были обезврежены. В последние несколько недель мы пронаблюдали, как пиринговая анонимная сеть I2P была скомпрометирована последними версиями CryptoWall 3.0 и Dyre banking Trojan.
I2P менее распространена чем Tor, но по функционалу достаточно похожа. I2P – оверлейная сеть поверх интернета, соединения между узлами этой сети зашифрованы. Пользователи этой сети могут получать доступ к ее анонимным сервисам, доступным только в I2P или к ресурсам интернета без раскрытия IP-адреса. В случае CryptoWall 3.0, malware пытаются получить доступ к ресурсам .i2p, которые доступны только внутри сети I2P. Они также называются "eepSites." и могут иметь вид:
- proxy1-1-1.i2p
- proxy2-2-2.i2p
- proxy3-3-3.i2p
- proxy4-4-4.i2p
- proxy5-5-5.i2p
CryptoWall 3.0 использует I2P так же, как CryptoWall 2.0 использует Tor, для предоставления пострадавшим доступа к сервису дешифрации. Банковский троян Dyre использует несколько механизмов С&C, в том числе шифрованных HTTPS запросов к списку жестко закодированных IP-адресов, DGA генерации 1000 новых доменов каждый день, и использует плагин I2P. Эти многочисленные механизмы C&C делают Dyre гораздо более устойчивым к «захвату». Наиболее известные адреса C&C серверов Dyre:
- 228.17.152
- 228.17.155
- 228.17.158
- 78.103.85
- 114.0.58
- 203.50.17
- 203.50.69
- 153.35.133
- 183.172.196
- 56.214.130
- 56.214.154
- 239.209.196
- 172.179.9
- 172.181.164
- 172.184.75
- 23.8.68
- 59.2.42
- 248.224.75
- 25.134.53
- 25.138.12
- 25.145.179
- 190.139.178
- 23.196.90
- 23.61.172
Перечислить все домены, сгенерированные DGA - невозможно, что и является главным преимуществом этого механизма. Наиболее простой путь защиты сети от Dyre и CryptoWall 3.0 – это идентификация и полная блокировка I2P-трафика. Безусловно, существуют обоснованные поводы для применения средств «анонимизации» пользователей в сети. Но для многих организаций транзит такого трафика опасен и нецелесообразен, какие бы цели не преследовались пользователем. Технология Palo Alto Networks – App-ID идентифицирует I2P, Tor и еще 51 приложение для туннелирования траффика.