Bottīkla koda laušana

Kompromitētu datoru tīkli, ko kontrolē centrālais serveris, labāk pazīstami kā robottīkli, ir Šveices armijas tiešsaistes noziedznieku rīku nazis. Hakeri var izmantot šīs kopīgi izvēlētās sistēmas, lai izspiestu surogātpastu, mitinātu ļaunprātīgu kodu, slēptu savus izsekojumus internetā vai pārpludinātu korporatīvo tīklu, lai pārtrauktu piekļuvi tīmeklim.





Ikreiz, kad parādās jauns robottīkls, pētnieki sacenšas, lai apgrieztu inženieriju programmatūru, ko tā instalē upura mašīnā, un atšifrētu veidu, kā katrs robots sazinās ar kontrolējošo serveri. Tā kā šie sakari bieži ir šifrēti, šāda analīze var ilgt nedēļas vai mēnešus. Tagad pētnieki no Kalifornijas universitātes Bērklijā un Kārnegija Melona universitātē ir izveidojuši veidu, kā automātiski mainīt sakarus starp apdraudētajiem datoriem un to kontrolējošajiem serveriem.

Rakstā, kas šonedēļ tiks prezentēts Datortehnikas asociācijā Konference par datoru un sakaru drošību , pētnieki parāda, kā automātiskā reversā inženierija var atšifrēt komunikācijas struktūru un mērķi starp komandu un vadības serveri un tā robotprogrammatūru.

Bottīkla komunikācijas protokols ir robottīkla kodols, saka Huans Kabalero, doktorants, kas ir saistīts gan ar Kalifornijas Universitāti Bērklijā, gan Kārnegija Melona universitāti, un darba vadošais autors. Tādā veidā uzbrucējs nosūta komandas robottīklam.



Kad pētnieki iepriekš ir mēģinājuši automātiski analizēt robottīklu komunikācijas protokolus, viņi koncentrējās uz klienta saņemto komandu atšifrēšanu. Tomēr Caballero kopā ar UC Berkeley docentu Dawn Song un diviem citiem kolēģiem ir izstrādājis paņēmienu, kas pārtulko gan klienta saņemtās komandas, gan tā sūtītās atbildes.

Pēc tam pētnieki palaida robottīkla kodu virtuālajā mašīnā un analizēja informācijas kustību uz un no datora reģistriem — atmiņas komponentiem mašīnas procesorā — pirms tas tika šifrēts. Vērojot izmaiņas atmiņas reģistros, pētnieki to sauc par bufera dekonstrukciju, ļāva viņiem iegūt robottīkla sakaru struktūru un secināt katras komandas dažādu komponentu funkcijas.

Tas attiecas uz ļaunprātīgu programmatūru, jo mums parasti nav izpildāmā faila robottīkla komandu un vadības serverim, sacīja Paolo Milani, Vīnes Tehnoloģiju institūta Secure System Lab pēcdoktorantūras pētnieks un agrāka raksta autors. par automatizētu protokolu analīzi. Tādējādi, izmantojot iepriekšējās metodes, mēs nevarētu automātiski mainīt protokola klienta pusi.



Pētnieki izveidoja iegūto tehniku ​​rīkā, ko sauc par Dispečeru, lai analizētu robottīklu tīkla sakarus un pat ievadītu jaunu informāciju sakaru straumē. Pētnieki pārbaudīja šo pieeju sarežģītajā robottīklā, kas pazīstams kā MegaD un kas kļuva par virsrakstiem 2008. gada sākumā, kad drošības firmas pamanīja, ka tā ir atbildīga par gandrīz trešdaļu no surogātpasta trafika visā pasaulē.

Pētnieki analizēja 15 ziņojumus, ko viņi savāca, uzraugot MegaD robotu: septiņas komandas, kas nosūtītas no vadības serveriem, un astoņas atbildes no robota. Dispečera rīks analizēja robotu, kad tas darbojās virtuālajā mašīnā, un automātiski noteica punktu, kurā programma atšifrēja komandas, bet vēl nebija šifrējusi savas atbildes.

Tīkla administratori var arī izmantot Dispečera rīku, lai iefiltrētos robottīklā. MegaD klienti parasti pārbauda, ​​vai viņi var sūtīt e-pastu, lai kļūtu par noderīgu zobratu surogātpasta kampaņā. Tā kā pētnieki bloķē visu izejošo pasta trafiku, klients parasti nosūtīs ziņojumu uz kontrolējošo serveri, sakot, ka tā pasta pārbaude neizdevās. Taču pētnieki pa ceļam modificēja ziņojumu, tā vietā atbildot ar kodu veiksmīgai surogātpasta pārbaudei.



Parasti tas būtu nosūtījis ziņojumu, kurā teikts, ka nevar nosūtīt surogātpastu, saka UC Berkeley's Caballero. Mēs [tā vietā] saņēmām surogātpasta veidni, lai mēs varētu redzēt, kāda veida mēstules tas izsūtīs.

Tādi rīki kā Dispatcher varētu paplašināt to, kas pašlaik ir neliels skaits pētnieku, kuri regulāri pārveido robottīklus, saka Džo Stjuarts, vecākais drošības pētnieks. SecureWorks , tīkla drošības uzņēmums. Viņš saka, ka tas atrisinātu problēmu, kas ir pasaulē — pietiekoši daudz cilvēku, lai analizētu robottīklus. Ir tikai tik daudz cilvēku, kuri var veikt reverso inženieriju robottīklos. Jums ir liels entuziastu pulks, kas varētu to izmantot, lai viņiem palīdzētu.

Tomēr Stjuarts piebilst, ka pieredzējušiem pētniekiem vēl nav nepieciešami šādi automatizēti rīki, lai analizētu lielāko daļu ļaunprātīgas programmatūras. Lai gan sarežģītākiem robottīkliem var paiet vairākas nedēļas, lai apgrieztu inženieriju, taču parastā ļaunprogrammatūra, ar kuru saskaras lielākā daļa uzņēmumu un organizāciju, nav nekādu problēmu. Vairāk nekā 90 procenti no visiem robottīkliem izmanto viegli uzlaužamu šifrēšanu, lai aizsargātu savus sakarus, padarot manuālās metodes salīdzinoši vienkāršas un ātras.



Ne katram (rotu meistaram) ir nepieciešama MegaD tipa šifrēšana, saka Stjuarts. Es vienkārši nedomāju, ka tas ir viņu laika vērts, nevis ar to ietekmi, ko mēs uz viņiem tagad atstājam, kas ir minimāla.

Tomēr robottīkli turpinās attīstīties, teikts UC Berkeley's Song. Viņa saka, ka robottīklu programmas kļūst sarežģītākas. Viņi izmanto dažādas apmulsināšanas metodes un tā tālāk. Tātad, iespējams, manuālā analīze var darboties pašlaik, bet nākotnē mums būs nepieciešami labāki rīki.

paslēpties