Исследователи из компании Google и Технологического института Джорджии заняты изучением фактически не поддающейся обнаружению формы атаки, во время которой жертвы постоянно подвергаются скрытому контролю через Internet.

 

Авторы опубликованных в феврале результатов исследования решили обратить особое внимание на серверы DNS с "открытой рекурсией", благодаря которым компьютеры осуществляют преобразование доменных имен Internet (например, google.com) в числовые адреса IP. Преступные элементы используют эти серверы для разработки новых технологий организации атак фишинга.

 

По оценкам исследователей, в Internet сегодня имеется 17 млн. открытых рекурсивных серверов DNS. Подавляющее большинство из них предоставляет точную  и легитимную информацию. В отличие от других серверов DNS открытые рекурсивные системы отвечают на любой запрос, поступающий от любого компьютера в Internet. Благодаря данной особенности серверы подобного рода становятся лакомым куском для хакеров.

 

 

«Тайная авторизация»

 

Исследователи из Google и Технологического института Джорджии полагают, что фальшивые адреса в ответ на запросы DNS возвращают порядка 68 тыс. или 0,4% от общего числа открытых рекурсивных серверов DNS. Еще около 2% возвращают результаты, вызывающие вопросы. В совокупности эти серверы образуют "второй, тайный орган авторизации" DNS, подрывающий доверие к Internet в целом.

 

"У данного преступления имеется несколько признаков, - отметил исследователь из Технологического института Джорджии Дэвид Дэгон, принимавший участие в написании отчета. - Эти серверы ведут себя подобно зазывалам на ярмарке. Причем независимо от того, что вы у них запрашиваете, они с радостью направляют вас в какой-нибудь сомнительный магазин или на Web-сервер, где нет ничего, кроме яркой рекламы, от которой разбегаются глаза".

 

В атаках на систему DNS нет ничего нового, и киберпреступники подменяют установки DNS на компьютерах жертв на протяжении уже по крайней мере четырех лет. Но лишь недавно злоумышленники вывели свою технологию на такой уровень, который позволяет им поставить атаки на поток. Если в первых атаках подобного рода внесение необходимых изменений в установки осуществлялось с помощью вирусов, то теперь атаки основаны на применении вредоносного программного обеспечения (malware) на базе Web-технологий.

 

 

Сумки вместо поиска

 

Итак, каков же механизм проведения атаки? Жертва заходит на деструктивный Web-сайт или открывает присоединенную вредоносную программу, которая использует брешь в системе безопасности компьютера. После этого атакующие меняют всего лишь один файл в установках реестра Windows, указывая ПК, что за информацией DNS он должен обращаться на сервер киберпреступников. Если брешь в системе безопасности не была своевременно закрыта антивирусной программой, атакующий установит над компьютером жертвы контроль, который фактически не поддается обнаружению.

 

Изменив установки Windows, преступники в большинстве случаев направляют жертву именно на те Web-сайты, к которым она обращается, но в любой момент (например, во время сеанса обмена информацией с банком) их можно подменить фальшивым сервером. Поскольку атака осуществляется на уровне DNS, антифишинговое программное обеспечение не сигнализирует о переходе на поддельный сайт.

 

При желании атакующий может получить полный контроль над всеми операциями жертвы в Internet. "Например, запросив сервер Google.com, вы окажетесь на китайском сайте, предлагающем багажные сумки", - пояснил Дэгон.

 

"Это действительно очень хорошо замаскированная потайная дверь, - признал технический директор подразделения IBM Internet Security Systems Крис Рулан. - И даже используя все многочисленные средства, развернутые на предприятии, вы не найдете ее".

 

 

Найти и обезвредить

 

В ближайшие несколько месяцев Рулан прогнозирует увеличение числа атак на DNS с сайтов Web 2.0. Дело в том, что данные сайты аккумулируют Web-страницы, поступившие из множества различных источников. И некоторые из этих источников вполне могут оказаться ненадежными. Таким образом, мы становимся свидетелями появления нового поколения механизмов фишинга.

 

Предварительные исследования, проведенные командой Дэгона, показывают, что Web представляет собой важное направление для организации подобных атак. Задействовав сеть поисковых машин Google, исследователи обнаружили более 2100 Web-страниц, на которых присутствовал код, вносивший на машинах посетителей сайта изменения в реестр Windows.

 

Отчет, подготовленный под заголовком Corrupted DNS Resolution Paths, планируется представить общественности на симпозиуме Network and Distributed System Security Symposium (NDSS), который будет проходить в Сан-Диего. Его авторами являются старший инженер Google Нильс Провос, а также представители Технологического института Джорджии Крис Ли и Уинки Ли.

 

В прошлом году Дэгон и Уинки Ли основали компанию Damballa, занимающуюся поиском путей защиты от атак подобного рода.

 

Компания Damballa, позиционирующая себя в качестве поставщика механизмов борьбы с деструктивными сетевыми роботами, предлагает идентифицировать подконтрольные злоумышленникам машины путем проверки того, обращаются ли они к ранее выявленным вредоносным серверам DNS.