Zagrożenia w sieci coraz trudniejsze do wykrycia

Wiele wskazuje na to, że cyberprzestępcy zaczęli wyposażać serwery kontrolne sieci botów w funkcje, które mają na celu wprowadzenie ciekawskich w błąd oraz utrudnienie analiz.

Takie wnioski przedstawia w blogu firma Tllod (The Last Line of Defense). Według jej specjalistów serwer przy wprowadzeniu łatwych do odgadnięcia danych dostępowych udawał pomyślne logowanie do podstawowego panelu webowego.

Do zalogowania wystarczy np. kombinacja loginu i hasła (admin/admin). Badany serwer był nawet przygotowany na próby ataku typu SQL Injection w formularzu hasła i udawał, że daje się nabierać na takie wprowadzane sekwencje znaków jak 'or 1=1--". Po zalogowaniu zdalny system protokołował wszystkie działania. Zdaniem badaczy z Tllod możliwym celem takich zabiegów jest analizowanie metod działania potencjalnych włamywaczy. Do tej pory stosowanie takich przynęt (honeypots) było charakterystyczne dla ludzi z drugiej strony barykady: za ich pomocą specjaliści od bezpieczeństwa chcą bliżej przyjrzeć się sposobowi działania cyberprzestępców.

Podczas analizy kodu źródłowego serwera kontrolnego zainstalowanego przez właścicieli botnetu specjaliści z Tllod stwierdzili też, że prezentowana tam statystyka liczby zainfekowanych pecetów (botów) i wykorzystywanych exploitów zawierała przypadkowe wartości. Takie dane były więc bezużyteczne –. badacze botnetów powinni również ostrożnie odnosić się do wyników przedstawianych im przez serwery kontrolne innych sieci botów. W przeszłości firmy z branży bezpieczeństwa niejednokrotnie publikowały wewnętrzne statystyki przejętych serwerów C&C.

Warto na koniec wspomnieć też o tym, że interfejs webowy badanego serwera symulował funkcję ładowania wykonywalnego pliku dla botów. Plik ten był jednak tylko zapisywany i nie trafiał do komputerów zombie.

wydanie internetowe www.heise-online.pl