?

Log in

No account? Create an account

Previous Entry | Next Entry

Первый ход

Разведывательный ботнет, в отличие от коммерческого (спам, DoS-атаки, хищения в ДБО), должен оставаться необнаруженным долгое время. Должен и может. Ведь антивирусы пользуются в основном сигнатурным методом и очень слабы в эвристических и статистических методах. Поэтому пока нет сигнатуры, компьютерная зараза может безнаказанно резвиться месяцами. А сигнатуры не будет, пока образец не попадёт в руки антивирусным аналитикам. А он не попадёт, пока ботнет не проявит себя.
Вирус всегда ходит первым
Вирус всегда ходит первым.

Коммерческие ботнеты проявляются сразу. Военные (если таковые существуют) – спят до момента "Ч". А разведывательные действуют очень осторожно, не пытаются заразить всех подряд, расходуют захваченный ресурс крайне экономно, могут вообще покинуть зараженный компьютер, если он принадлежит простому пользователю.

У владельца разведывательного ботнета есть время и возможности на подготовку ряда полезных трюков. Например, когда становится известна уязвимость, через которую он распространялся, её выводят из употребления, заменяя новой, подготовленной заранее. Собрав информацию с интересующих нас объектов (скажем, провайдеров России) можно вывести оттуда своих киберагентов и ввести их на объекты, которые нам не интересны (к примеру, органы госуправления США), после чего сдать ботнет. Ведь в должный срок он всё равно выработает свой ресурс, морально устареет, станет обречён на детектирование. К чему задаром пропадать? Отработанный шпионский троян можно с выгодой продать общественному мнению как вражеский. А если ненавязчиво вставить в код парочку слов типа "Matryoshka" или "Balalaika", то публике сразу станет ясно, кто тут главный злохакер.

Момент обнаружения разведывательного ботнета выбирает его хозяин. Когда захочет, тогда и подкинет "независимым" антивирусникам наводящие данные. А дальше те уже сами всё что надо раскопают. Код разберут. Текущий ареал распространения проанализируют. И доложат мировой общественности. Вот вам и казус белли. Или бюджетные ассигнования.

Comments

( 17 comments — Leave a comment )
rdia
Feb. 3rd, 2013 05:51 am (UTC)
> Ведь антивирусы пользуются в основном сигнатурным методом и очень слабы в эвристических и статистических методах.

Ну так туда и нужно копать. :-) На каждой машине стоят Винды, хорошо известной версии => можно рассказать многое про аномалии, которые там встречаются.

Ну чисто как с современными генетическими проблемами - есть код ДНК, в нём есть отклонения от эталона. И что из этих отклонений - фигня, а что - фатально, это интереснейший вопрос.
infowatch
Feb. 3rd, 2013 06:09 am (UTC)
Туда очень трудно копать. Эвристические, статистические и другие умные методы не могут работать в необслуживаемом режиме. Им требуется квалифицированный оператор. Который даже не каждому офису по карману, не говоря о домашних пользователях.
gul_kiev
Feb. 3rd, 2013 06:28 am (UTC)
Как для ловли спама делают специальные email-адреса, засвечивают их на форумах, и знают, что вся приходящая туда почта является спамом, так и вирусы, по идее, можно ловить "на живца": сделать специальные системы, у которых тщательно контролировать целостность, аномальную сетевую активность и пр.
Конечно, если пользователь не будет лазить по порносайтам, многие вирусы сами по себе не смогут к нему залезть. Но те, кто сможет, будут обнаружены. Да, собственно, хаотичный веб-сёрфинг разными браузерами насетапить тоже вполне возможно.
anti_forensics
Feb. 3rd, 2013 02:02 pm (UTC)
Так и делают уже давно. Но эффективность этого метода довольно низкая при целенаправленных атаках, когда связка эксплоитов ничего не выдает посетителям не из нужной страны (города).

Edited at 2013-02-03 06:10 pm (UTC)
rdia
Feb. 3rd, 2013 06:32 am (UTC)
> Эвристические, статистические и другие умные методы не могут работать в необслуживаемом режиме.

Ну вот антивирус есть? Он собирает всякое с машин, потом отсылает на базу. На базе и проводится анализ.

Единственное отличие - слепок машины меняется со временем. Но ведь это и приемущество - Авирус знает, как должен меняться этот слепок. :-)
infowatch
Feb. 3rd, 2013 07:02 am (UTC)
Я вам отвечу в завтрашнем посте.
rdia
Feb. 3rd, 2013 08:41 am (UTC)
> Я вам отвечу в завтрашнем посте.

Если можно, то не только юридические моменты/моменты секретности (про них я тоже подозреваю всякое).
Serge Shikov
Feb. 3rd, 2013 08:10 am (UTC)
туда очень трудно копать в общем виде
А в частном случае - что у домашнего пользователя, что у офиса есть вполне себе стабильные паттерны, например сетевого трафика.

И отклонения от этого паттерна вполне можно и нужно обнаруживать. Если не автоматически, то хотя бы с помощью оператора вполне средней квалификации. Конечно, трафик может быть большой. Но значительную его часть будут составлять вполне себе невинные сайты.

Ботнет не может себя не проявлять, он обязан куда-то слать информацию. И этот трафик, судя по описанию тех же Stuxnet и им подобных, нифига не похож на трафик, создаваемый пользователями при посещении обычных сайтов.

И если ботнет не маскирует свой центр управления под vk.com - его вовсе не так сложно будет выделить из общей массы и обнаружить. Чисто для примера - сколько новых доменов и адресов будет в трафике за день/неделю?

Итого - во-первых, что-то новое, во-вторых, что-то нетипичное. Антивирусу-роботу это обнаружить может и сложно, а человеку, если он не спит на работе - как раз наоборот. Иными словами, тут имеет место эффект Неуловимого Джо.
mindfactor
Feb. 3rd, 2013 10:42 am (UTC)
Re: туда очень трудно копать в общем виде
>Ботнет не может себя не проявлять, он обязан куда-то слать информацию. И этот трафик, судя по описанию тех же Stuxnet и им подобных, нифига не похож на трафик, создаваемый пользователями при посещении обычных сайтов.

Через некоторое время станет похож. Ничего не мешает роботам общаться через тот же вконтактик.
Более того, робот может изучать трафик пользователя и начать общаться через те сайты, по которым хоть иногда, но ходит сам пользователь.
infowatch
Feb. 3rd, 2013 10:52 am (UTC)
Re: туда очень трудно копать в общем виде
Ботнет очень даже маскирует свой трафик. Те, которые не маскировали, давно вымерли.
anti_forensics
Feb. 3rd, 2013 02:09 pm (UTC)
Re: туда очень трудно копать в общем виде
> Если не автоматически, то хотя бы с помощью оператора вполне средней квалификации

Ну поймет Ваш оператор, что вчера, ровно в 15:24:33, все пароли были "утащены" троянской программой. В целом ряде случаев ему это уже не поможет :-)

> И если ботнет не маскирует свой центр управления под vk.com

Уже были ботнеты, управляемые через твиттер.

> Чисто для примера - сколько новых доменов и адресов будет в трафике за день/неделю?

Очень много.
Serge Shikov
Feb. 4th, 2013 11:54 am (UTC)
Re: туда очень трудно копать в общем виде
Пардон, я вовсе не пытался доказать, что оператор может _предотвращать_ утечки. Так что по этому вопросу можно мне даже не возражать. Это очевидно.

Твиттер, говорите? На мой взгляд в конторе, которой есть что скрывать, это уже само по себе подозрительно. И _весь_ трафик через подобные сайты (vk.com кстати тоже) стоит анализировать конкретно и внимательно просто по определению. И именно это - отделить один трафик от другого, и отдать подозрительный оператору в небольшом количестве - вполне может делать робот.

Я даже больше скажу - в таких конторах подобные сайты просто запрещены.

А насчет "очень много" - так это большой вопрос. Хотелось бы посмотреть на статистику, а не на такие субъективные оценки.
anti_forensics
Feb. 4th, 2013 01:18 pm (UTC)
Re: туда очень трудно копать в общем виде
Ну раз запрещены, то копируем важную информацию на все подключаемые флешки (в скрытые разделы) и ждем, когда хоть одна из них будет подключена к "зараженному" компьютеру за пределами периметра. Выход всегда есть и он всегда будет практически реализуем. А значит все контрмеры должны затрагивать и сетевой трафик, и сменные носители, и мобильные устройства, и т. д. Плюс контрмеры должны дополняться хорошо организованным персоналом. А с этим уже серьезные и вечные проблемы.

Edited at 2013-02-04 05:19 pm (UTC)
1master
Feb. 3rd, 2013 06:15 am (UTC)
Мне кажется, что не стоит переоценивать разведчиков. Ошибки они тоже совершают, идеальный софт пока никто писать не научился, а способов спалиться в компьютерном деле никак не меньше, чем в реальной жизни, а скорее даже больше.
(Anonymous)
Feb. 3rd, 2013 11:21 am (UTC)
klim choogunkin
Всем паппилинух, посоны! флешеньку в карман и чао всем душным летёхам чо,
А загнали если в угол отковырял чип и на зуб его хрусь и тьфу на пол..
типа ни чо не видел ни чо не понимаю слава труду идите уже по домам нна..
anti_forensics
Feb. 3rd, 2013 02:14 pm (UTC)
> А если ненавязчиво вставить в код парочку слов типа "Matryoshka" или "Balalaika"

Вот так еще можно!
Dmitry Karpov
Feb. 5th, 2013 07:04 pm (UTC)
Я так понимаю, операционная система, записанная в ПЗУ, решает проблему. Есть также вариант с подписыванием всех исполняемых файлов (в т.ч. библиотек и драйверов) цифровой подписью, а что не подписано - не запускать; или можно публиковать список контрольных сумм проверенных программ.
( 17 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow