Информационная безопасность
0,0
рейтинг
13 ноября 2015 в 17:08

Разработка → Слежение за пустотой, или атаки на несуществующие ресурсы

image

В последнее время ходит немало разговоров о том, что социальные сети и мессенджеры заглядывают в личную переписку и используют ее в своих целях. После очередного вброса в сторону новомодного нынче Телеграмма, появились мысли провести очередное исследование, посвященное указанной тематике.

В конце сентября мы с коллегой участвовали в съемках сюжета для «Первого канала» с рассказом о фишинговых схемах интернет-мошенников. Чтобы показать журналистам некоторые детали такой «рыбалки», был зарегистрирован двойник «Одноклассники.ru» по адресу m.odnoklassnliki.ru. Копия мобильной версии социальной сети с лишней буквой «l», созданная за пару минут с помощью Social-Engineer Toolkit (SET), не была добавлена ни в какие поисковые системы и предназначалась для практической демонстрации перехвата данных.

После съемок фейк убрали, но еще в ходе подготовки нас заинтересовала статистика посещений страницы: IP-адреса гостей принадлежали mail.ru, Microsoft, LeaseWeb, Selectel Ltd. Мы решили сделать еще один пустой сайт на другом домене — milcrosoft.com, чтобы систематизировать проявленный интерес к никому не известному «фишинговому» сайту со стороны различных систем мониторинга, а затем посмотреть, кто появится в логах, если ссылку отправить персональным сообщением на домен уровнем выше — office365.milcrosoft.com.

Первоначальная конфигурация


На странице отсутствовал какой-либо текст и мультимедийные данные, а настройки nginx подразумевали выдачу пустой страницы при посещении ресурса:

server {
listen 80;
server_name milcrosoft.com www.milcrosoft.com;

if ($host !~ ^(milcrosoft.com|www.milcrosoft.com)$ ) {
return 444;
}

if ($request_method !~ ^(GET)$ ) {
return 444;
}

access_log /var/log/access.log main;
error_log /var/log/error.log;

location / {
root /var/www/milcrosoft;
index index.php index.html index.htm;
}

error_page 404 500 501 502 504 /error.html;

}

Идентичная конфигурация использовалась и для второго домена office365.milcrosoft.com.

Часть первая – интернет-боты

Самым быстрым оказался китаец с адресом 110.75.105.9, принадлежащим Zhejiang Taobao Network Co.,Ltd. Этот бот появился в первый же день работы сайта.

На следующий день на страницу зашли роботы поисковых систем Google, Yahoo, BING, Baidu с запросами GET / HTTP/1.1 и GET /robots.txt HTTP/1.1.

Среди компаний, занимающихся безопасностью, стоит отметить «Лабораторию Касперского», ее бот c IP 93.159.230.39, возможно, анализировал страницу для своей системы репутаций. Остальные антивирусные компании страницу не посещали. Похожую статистику, видимо, собирал и бот phishmongers.com (198.186.192.44), «конкурентные разведчики» с шпионом aiHitBot и создатели антифишинговой панели, компания Netcraft, отправившая на 14-й день жизни страницы запрос HEAD / HTTP/1.1.

Немалое любопытство проявили также «кроулеры» из DomainSONOCrawler, ходившие к нам по несколько раз в день под разными юзер-агентами, а также китайцы с crawl.baidu.com.

Стоит отметить южнокорейских посетителей из BORANET (211.36.137.129) с запросом GET /hardware/warr HTTP/1.1 (вероятно адресованным к microsoft.com/hardware/warranties), заходивших со смартфона SAMSUNG SM-G920L. Вообще, запросов с мобильных устройств было немало, больше всего с iPhone, и скорее всего они являлись результатами ошибок при наборе имени официального сайта MS.

Также удивили гости из CHINANET (115.195.117.24) с юзерагентом WIN98.

Атаки на панель администратора

На третий день с адреса 91.210.145.15, расположенного в Желтых Водах под Днепропетровском, стали простукивать «админки». От сетевого имени ICTNET-UA-NET поступали следующие запросы:

GET /wp-login.php HTTP/1.1 (определение админ-панели WordPress)

GET /administrator/index.php HTTP/1.1 (определение панели Joomla!)

GET /admin.php HTTP/1.1 (определение панели администратора)

image

На следующий день подобные запросы были зафиксированы с адреса 193.201.227.78 (Украина), а затем с адреса 46.216.0.141 (Беларусь). Географическая принадлежность, разумеется, не играет никакой роли, VPS купить может кто угодно и где угодно.

С какой целью осуществляются подобные запросы? Так как мы не ставили перед собой цели создавать полнофункциональный ханепот, можем лишь предположить, что наибольшую угрозу они несут для только что созданных страниц на таких популярных движках, как WordPress или Joomla!.. Если владелец не успел сменить пароль по умолчанию, ему могут незаметно подселить вредоносный код или использовать сайт для спама либо перехвата конфиденциальной информации.

Среди других посетителей тестовой страницы стоит отметить компанию Societe Francaise du Radiotelephone (93.20.177.34) с запросом GET /favicon.ico HTTP/1, многочисленные визиты www.best-seo-report.com с различных адресов и гостей из сети ТОR (IP 192.99.246.164) с именем tor-exit.ethanro.se и адресом в заголовке юзерагента www.pizza-tycoon.com.

В один из последних дней нашего эксперимента с бразильского адреса 201.93.81.118 вновь проверили доступ к панели администратора WordPress запросом GET /wp-login.php HTTP/1.1. Кроме того, с IP 119.82.24.111 было отправлено послание GET /?author=1 HTTP/1.0.

Часть вторая – чтение переписки

В дальнейшем мы проверили, насколько внимательно соцсети и популярные мессенджеры относятся к ссылкам в персональных сообщениях. Года два назад Microsoft уже в этом уличили. Тогда два сотрудника немецкого интернет-издания обменялись в скайпе HTTPS-ссылками и через несколько часов в логах сервера обнаружили следы, указывающие на посещение с IP-адреса Microsoft. А этой осенью пользователи Reddit и вовсе обсуждали слухи, что Facebook научился показывать контекстную рекламу в зависимости от ключевых слов в голосовом общении. Один читатель уверял, что его FB стал показывать рекламу на испанском после того, как он увлекся испанскими сериалами.

Исследовать шпионаж со стороны соцсетей за голосовым трафиком нам кажется пока преждевременным, поэтому мы ограничились тем, что разослали ссылку на нашу страницу внутри сообщений другим абонентам. Получатель сообщения не переходил по этому адресу, чтобы не вносить лишнюю энтропию.

image

Как выяснилось, боты Skype, Twitter, Facebook и ВКонтакте активно посещают страницу, адрес которой передается в частной переписке. Делает это и Telegram, однако если включить в этом мессенджере режим «Secret chat», то робот перестает ходить по переданной ссылке.
Дмитрий Евтеев @devteev
карма
46,0
рейтинг 0,0
Информационная безопасность
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (28)

  • +1
    Вайбер уже переходит.
  • +5
    Да, целый увлекательный мир, скрытый от простых пользователей…
  • +13
    Месенджерам нужен переход по ссылке, минимум, чтобы показать превью страницы (property=«og:image»).
    • +1
      раньше считал, что превью делается у клиента. Сейчас проверил, VK действительно хранит первью у себя.
      • 0
        Да они даже если не хранят, то делают ресайз картинки.
      • 0
        кэшируют же. Потому что если не кэшировать — можно нечаянно DoS-атаку устроить.
      • 0
        причем делает он это только в полной версии, в мобильной или в приложении этого функционала нет.
  • +5
    В таких случаях обычно интересно услышать представителей от разработчика. Дабы не было конспирологических теорий
  • +9
    Боты соцсетей могут ходить на страницу за её превьюшкой и заголовком, дабы красиво в чатике отрисовать.
  • +1
    Заметил подобное поведение ботов после передачи ссылок на Google док с правами «Включить доступ по ссылке».
    Всегда появляется: «Неопознанный носорог», «Пингвин» и др.
  • 0
    Эти хакеры на всех сайтах адмику простукивают. Каждый день наблюдаю их в логах. Их даже исследовали.
  • +1
    Про тех, что активно не спалилились, не факт что позже не шарятся по сохраненной истории и не анализируют ее.
    И еще, вы когда нибудь поднимали сервера в азии? Проведите исследования кто какие сканирует порты, а про бруты ssh/rdp вообще удивительные истории)
    • 0
      А чего сразу Азия-то?
      Сервер с ssh и паролем root без доменного имени простоял у нас меньше чем полдня, потом начал спам слать
      • 0
        heartbleed? А какая OS, если не секрет?
        • +1
          Да бросьте вы, зачем так сложно? Тупая атака по словарю. Правда, держать сервер с открытыми для всех портами штатных сервисов (ssh, ftp, и пр) и без какой-либо системы бана, а-ля fail2ban, это уже даже как-то неприлично?
          • +1
            Да, новый сервак на hetzner'е, нигде не светившийся, получает тысячи попыток подбора пароля в час по ssh, если не настроить fail2ban. Так что это must have.
            • 0
              Мой ноутбук, на котором никаких служб не запущено, и который у провайдера на динамическом айпишнике — столько же получает =)
          • 0
            Там было что-то вроде «не забудь сменить пароль на рута...» крикнутое в след. Ага.
            Привезли обратно — поставил и fail2ban и руту запретил ssh и пароль криптостойкий и номер порта у ssh сменил
        • 0
          брутфорса достаточно с таким паролем :)
        • +1
          Debian. Но я думаю это не так уж и важно при использовании логина root с паролем root
      • +1
        Опытные люди первым делом, ещё до подъёма сети, ставят в sshd_config «Permitrootlogin no» и заливают на сервер публичный ключ.
        Ну или хотя бы рутовый пароль должен быть сгенерирован командой `pwqgen random=63` (или с другим числом random — кому какое нравится)
        • 0
          В 8 дебиане это настройка по-умолчанию теперь
          • 0
            В Ubuntu много лет так: вход рутом заблокирован (невалидный пароль), логиниться можно только пользователем, а дальше — sudo.
  • –2
    Многообещающая статья, но аццкий фэйл с OpenGraph в конце. Вы бы статью проапдейтили на эту тему что ли.
  • 0
    Одного меня раздражают эти «красивости» в мессенджерах, когда вставляешь ссылку, а он, зараза, автоматом начинает тебе рисовать эти ненужные, дурацкие, отвратительные и не отвечающие вообще ничему «превьюшки»?
    • +1
      Видимо, да. Мне гораздо приятнее видеть title сайта, чем ничего не значащий длиннющий url
      • 0
        К title претензий нет, а к картинке? Вроде весь гнев в основном из-за неё
        • –1
          КДПВ же

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.