Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

Виділені атакувальні сайти

Cтаття "Сучасні інтернет-атаки" надана Sophos Plc і SophosLabs.

Серпень 2007 р.

Компрометація сайтів використовується не в усіх інтернет-атаках. Щодня в мережі з'являється безліч спеціалізованих шкідливих сайтів. Процедуру реєстрації домену важко контролювати і це дозволяє створювати сайти для здійснення інтернет-атак або перехоплення веб-трафіку, призначеного для схожих доменів. Останній метод зазвичай має на увазі створення сайту з доменним ім'ям, схожим за написанням із нормальним існуючим сайтом [47]. Такі методи зазвичай використовуються для фішингу, але лише ним не обмежуються. Не можна сказати, що доменні імена, які реєструються для атакувальних сайтів, будуються за якимись конкретними принципами. У деяких випадках використовуються нормальні назви, що виглядають солідно, в інших — безглузді та часто складні для читання послідовності символів. Атакувальні сайти також можуть створюватися на базі безкоштовних служб хостингу; окремий домен при цьому не реєструється. Одне з важливих завдань під час виявлення атакувальних сайтів — перевірка відомостей реєстрації домену для визначення того, чи був сайт шкідливим від початку та навмисно. По суті, необхідно з'ясувати, він скомпрометований чи атакувальний.

Як гарний приклад атаки з використанням відомих назв можна навести два випадки. В обох атаках для зараження жертв використовувалася підробка доменів під Google. У першій сайт маскувався під локалізовану сторінку пошуку Google [48], але насправді містив код, який заражав жертв шкідливим ПЗ. У другому випадку використовувався сайт, замаскований під службу веб-лічильників, який намагався використати декілька вразливостей різних браузерів (включаючи MS06-057 [49], WinZip, MS06-055 [50], QuickTime (CVE-2007-0015) і MS07-009 [51]) для встановлення шкідливих програм. Цікаво, що повторна спроба доступу до другого сайту призводила до переходу на звичайну сторінку пошуку Google.

Мал. 11. Приклад атакувального сайту, який під час першого відвідування заражає жертву, використовуючи її вразливість, а згодом просто перенаправляє її на сторінку пошуку Google.

Останнім часом виросла популярність готового інструментарію, який відкрито поширюється для створення шкідливих driveby-сайтів. Два найвідоміші приклади — це MPack [52,53] та IcePack [54], що були широко використані в інтернет-атаках протягом усього 2007 року. Такі набори можна порівняно недорого придбати на спеціальних інтернет-форумах; вони включають цілий комплект PHP-засобів для створення атакувальних сайтів. Покупці можуть використовувати такі набори для створення шкідливих сайтів, що використовують численні вразливості браузерів для зараження жертв вибраними шкідливими програмами. Досвід розробки скриптів і експлойтів при цьому не потрібний. За допомогою такого набору також можна створити головну сторінку, із якої починається процес зараження. Після цього хакеру залишається лише заманити відвідувачів — це зазвичай робиться за допомогою спаму або скомпрометованих сайтів. Коли така сторінка відкривається в браузері, скрипт починає перебирати різні експлойти, намагаючись заразити жертву. Часто такі набори підтримують оновлення; у разі виявлення нової вразливості в якому-небудь браузері головна сторінка оновлюється, щоб підвищити шанс успішної атаки.

Відомості про всіх жертв записуються в базу даних, що дозволяє хакеру переглядати статистику успішності атак. Така статистика також використовується для того, щоб запобігати повторним атакам на відомих клієнтів — при повторних запитах повертається порожня сторінка або яке-небудь нешкідливе повідомлення (наприклад,«: [»). У деяких наборах навіть використовується скрипт, який маскує повідомлення «Sorry! You IP is blocked» (орфографія збережена).

Мал. 12. Приклад сторінки статистики на атакувальному сайті, створеному за допомогою пакета MPack.

У разі якщо сайт був створений і налаштований спеціально для атаки, хакеру потрібно заманити на нього жертв. Зазвичай для цього використовуються два методи — приховане завантаження шкідливого тегу iframe, вбудованого в скомпрометований сайт, або ж поширення посилання на сайт у спам-повідомленнях. Методи соціальної інженерії, які використовуються у спамі, зазвичай базуються на порнографії, пропонуючи, наприклад, порнографічне фото або відео з відомими людьми [55,56]. У кількох недавніх атаках користувачі, що клікнули на посилання, ставали жертвою шкідливого скрипту Iffy [57], який намагався використати ряд браузерних вразливостей для встановлення іншого шкідливого ПЗ. У першій атаці із застосуванням Iffy використовувалися спеціальні шкідливі ANI-файли, розраховані на нещодавно виявлену в Microsoft Internet Explorer вразливість з анімованими покажчиками (MS07-017) [58]. У подальших атаках із застосуванням Iffy, крім MS07-017 для зараження жертв, використовувалися й інші експлойти.

Iffy — це хороший приклад скрипту, що використовується в атаках для встановлення різноманітного шкідливого ПЗ. За 12 годин, протягом яких була написана ця стаття, у SophosLabs було виявлено 10 нових атак із застосуванням Iffy (див. мал. 13). У них встановлювалися представники одного з трьох різних сімейств шкідливого ПЗ, файли яких постійно оновлювалися за допомогою серверної автоматизації (див. таблицю 1). Один з атакувальних сайтів використовувався для завантаження початкової сторінки іншого атакувального сайту, створеного за допомогою набору IcePack, що знов-таки викликало новий механізм зараження. Ці приклади не є незвичайними або дуже складними; у них використовуються методи, які вживаються в більшості сучасних веб-атак.

Мал. 13. Огляд механізмів зараження в атаках за допомогою Iffy, зареєстрованих за 12 годин. У кожній атаці скрипт Iffy використовувався для зараження жертв представниками одного з трьох відомих сімейств шкідливих програм. В одній з атак Iffy використовувався для завантаження сторінки окремого атакувального сайту, створеного за допомогою набору IcePack.

Найпоширеніший спосіб перенаправлення користувачів на початкові сторінки, створені за допомогою одного з PHP-наборів, полягає у введенні шкідливого тегу iframe в сторінку, що заражається. Таким чином можна налаштувати один атакувальний сайт, на який потраплятимуть багато жертв, які відвідують скомпрометовані сайти, де непомітно завантажується шкідливий скрипт. У таких атаках використовується поєднання спеціалізованих атакувальних сайтів і кількох скомпрометованих сайтів, на яких користувачі будуть атаковані. Побічний ефект використання кількох скомпрометованих сайтів полягає в тому, що навіть після того, як кінцевий атакувальний сайт стає недоступний, скомпрометовані сторінки як і раніше намагатимуться зробити запит до шкідливого контенту.

Однією з характерних рис шкідливих скриптів завжди було те, що їх можна дуже швидко адаптувати для використання нової вразливості. У результаті виникає безліч дрібних варіацій, які люди копіюють і вносять у них мінімальні зміни. Схожа ситуація спостерігається й у випадку з поширюваним через інтернет PHP-інструментарієм: існує безліч атакувальних сайтів, на яких розміщуються скрипти, аналогічні тим, що створюються за допомогою такого інструментарію. Імовірно, це результат ручного копіювання у спробах заощадити на придбанні такого інструментарію (ціна зазвичай становить кілька сотень доларів США).

До наступного розділу

Оцініть статтю
Дякуємо за ваш відгук!