Pētnieki nolaupa Drive-By robottīklu

Iefiltrējoties noziedzīgā datortīklā, kura mērķis ir inficēt likumīgu vietņu apmeklētājus, universitāšu pētnieki ir guvuši tiešu ieskatu tā dēvētās lejupielādes apjomā un apjomā. Viņi atrada vairāk nekā 6500 vietņu, kurās tiek mitināts ļaunprātīgs kods, kas novirzīja gandrīz 340 000 apmeklētāju uz ļaunprātīgām vietnēm.





Lejupielāde ar pieturu ietver legālas vietnes uzlaušanu, lai slēpti instalētu ļaunprātīgu programmatūru apmeklētāju iekārtās vai novirzītu viņus uz citu vietni.

Nepublicētā rakstā pētnieki no Kalifornijas universitātes Santabarbarā apraksta četrus mēnešus ilgušu pētījumu, kurā viņi savienoja savus serverus ar apdraudētu datoru kolekciju, kas pazīstama kā Mebroot robottīkls. Starp saviem atklājumiem pētnieki atklāja, ka, lai gan sliktākās interneta vietnes, kurās tiek mitināta pornogrāfija un nelegālas lejupielādes, bija visefektīvākās, lai novirzītu lietotājus uz ļaunprātīgu lejupielādes vietni, biznesa vietnes bija biežāk sastopamas apdraudēto novirzītāju vidū.

Reiz jūs domājāt, ka, ja nepārlūkosiet pornofilmu, jūs būsiet drošībā, saka Džovanni Vigna , UCSB datorzinātņu profesors un viens no darba autoriem. Taču atturēšanās no sliktām vietām internetā vairs negarantē drošību.

Pirmo reizi pētnieki atklāja 2007. gada beigās, Mebroot tīkls izmanto apdraudētas vietnes, lai novirzītu apmeklētājus uz centralizētiem lejupielādes serveriem, kas mēģina inficēt upura datoru. Ļaunprātīgā programmatūra, kas nosaukta tās taktikas dēļ inficēt Windows datora galveno sāknēšanas ierakstu (MBR), liecina par profesionālas programmēšanas pazīmes, tostarp strauju atkļūdošanas ciklu, norāda pētnieki.

Tas noteikti ir viens no vismodernākajiem un profesionālākajiem robottīkliem, saka Kimmo Kaslins, Helsinkos, Somijā esošās pretvīrusu firmas F-Secure drošības atbildes direktors.

Izmantojot dažādas metodes, Mebroot noziedznieki inficē likumīgus tīmekļa serverus ar Javascript kodu. Kods novirza apmeklētājus uz citu interneta domēnu, kas mainās katru dienu un kur ļaunprātīgs serveris mēģina apdraudēt viņu datoru ar programmu, kas robottīkla īpašniekiem nodrošina šīs mašīnas tālvadību.

Pētnieki saka, ka pielāgotā domēna ģenerēšanas tehnika ir salīdzinoši sarežģīts veids, kā novērst mēģinājumus neatgriezeniski slēgt tīklu. Vecākas lejupielādes shēmas ir novirzījušas upurus uz stingri kodētu tīmekļa adresi. Mebroot izmantotais Javascript, nevis statiska adrese, katru dienu ģenerē jaunu adresi, kas ir līdzīga domēna algoritmam, ko izmanto cits datora kaitēklis Conficker. Tomēr, tā kā algoritms balstās uz zināmiem ievadiem, proti, datumu, domēnus var iepriekš aprēķināt, palīdzot aizstāvjiem. Piemēram, Conficker darba grupa mēģināja rezervēt turpmākos domēnus vismaz mēnesi iepriekš.

Četru mēnešu laikā, ko pētnieki pētīja Mebroot, infekcijas tīkls izmantoja trīs dažādus domēna ģenerēšanas algoritmus, no kuriem divi kā ievadi izmantoja tikai dienas datumu. Tomēr pēdējais variants pievieno mainīgo, ko nevar viegli uzminēt jau iepriekš: dienas populārākā meklēšanas vienuma Twitter vietnē otrās rakstzīmes.

Viņi (Mebroot veidotāji) izmantoja mainīgo, kas nekontrolēja ļaunos vai labos puišus, saka Marko Kova, UCSB students un darba līdzautors.

Pēc domēna ģenerēšanas algoritma apgrieztās inženierijas pētnieki uz laiku nolaupīja Mebroot, atspoguļojot darbības, kuras apdraudētas vietnes veic, lai aprēķinātu pašreizējās dienas domēnu un reģistrētu šos domēnus. Taču pētnieki pamanīja, ka tad, kad viņi reģistrēja domēnu saviem sinkhole serveriem, Mebroot grupa reaģēs, reģistrējot turpmākos domēnus ātrāk.

Pētnieki arī spēja profilēt tipisko tīkla upuri. Gandrīz 64 procenti apmeklētāju, kas tika novirzīti uz pētnieku serveriem, izmantoja Windows XP, bet 23 procenti izmantoja Windows Vista. Nākamās divas populārākās operētājsistēmas bija Mac OS X 10.4 Tiger un Mac OS X 10.5 Leopard, kas veidoja 6,4 procentus no visiem apmeklētājiem.

Pētnieki nekad neapdraudēja apmeklētāju sistēmas. Bet viņi varēja atrast pierādījumus, ka viņi ir inficēti, analizējot divu veidu informāciju, kas tika nosūtīta tīklā. Viens ierosināja, ka 6,5 ​​procenti apmeklētāju bija inficēti ar ļaunprātīgu programmatūru. Otra norādīja, ka 13.3. procentus sistēmu modificēja ļaunprātīgi vai nevēlami faili. Turklāt vairāk nekā puse — aptuveni 54 procenti — darbojās kāda veida pretvīrusu programmatūra. Pētnieki atklāja, ka aptuveni 12 procenti no tiem, kas izmanto drošības programmatūru, bija arī inficēti ar ļaunprātīgu programmatūru.

Pētnieki arī atklāja, ka gandrīz 70 procenti no tiem, kurus Mebroot novirzīja (kā klasificēti pēc interneta adreses), bija neaizsargāti pret vienu no gandrīz 40 ievainojamībām, ko regulāri izmanto populārākie infekcijas rīku komplekti, kas paredzēti datorsistēmu kompromitēšanai. Apmēram puse no šī skaita bija neaizsargāti pret sešām īpašām ievainojamībām, ko izmantoja Mebroot rīkkopa.

Pētījums liecina, ka lietotājiem ir jāatjaunina biežāk, saka UCSB Vigna.

Viņš saka, ka ielāpi ļoti labi samazina galalietotāju iedarbību, taču lietotāji ne pārāk labi atjaunina savu sistēmu.

paslēpties