Cazando botnets
lunes 18 de junio de 2018
La intercepción del servidor de control de los malintencionados no es el único modo de detectarlos. Se puede también hacerlo en caso de sus errores: tarde o temprano un ciberdelincuente se equivoca, o, al asegurarse de su propia impunibilidad, se convierte en una persona bastante insolente.
Denis C compró un coche de 70 mil Euros, pero no tenía ninguna prisa para pagarlo. Los cuerpos de seguridad visitaron al deudor por causa de su deuda sin siquiera saber quién es. Luego la policía contrastó los datos y sacó las siguientes conclusiones: el “deudor” era uno de los ciberdelincuentes más buscados en el mundo.
Pero vamos a hablar de la desanonimización. Los malintencionados, al igual que los usuarios ordinarios, usan el protocolo HTTPS. Su amplia implementación se realizaba bajo el lema de protección de los usuarios contra la atención de los cuerpos de seguridad y la supervisión. Pero en la práctica no todo es así.
HTTPS en realidad cifra todos los datos, incluidas las direcciones URL generadas por el cliente. Pero HTTPS está hecho a base de TCP/IP, es decir, se puede la información no cifrada sobre dónde se direcciona el tráfico. Hablamos de direcciones Mac, IP y puertos.
En otras palabras: los datos transferidos por HTTPS en realidad están protegidos, pero es fácil saber dónde se transfieren. Antes de cifrar, es necesario “acordar” lo siguiente: qué certificado se usará, o qué sitio web en concreto contactará el equipo.
Hemos recibido la dirección de consulta. Ahora podemos averiguar los datos del usuario – titular de la dirección.
Ya hemos informado sobre las herramientas que permiten detectar los datos de usuarios a través de las direcciones IP (recordamos que para esto sirven los servicios whois).
Con herramientas online (por ejemplo, whois.domaintools.com) se puede saber qué dirección IP es, a quién pertenece, y con una solicitud simple a bing se puede saber qué sitios web hay con esta dirección IP (por ejemplo, www.bing.com/search?q=ip:204.79.197.200).
Pero, como lo sabemos después de varios bloqueos, varios sitios web pueden funcionar con una sola dirección IP. ¿Cómo detectar, cuál de los mismos fue consultado por el infractor?
Un servidor web puede ofrecer hosting para varios sitios web, cada uno de los cuales puede tener su propio certificado SSL. El servidor web, al recibir la primera solicitud, debe detectar a qué sitio web necesita establecer conexión. Aún no hay cifrado porque todavía hay que establecerlo. Quiere decir que antes de cifrar el cliente debe transferir de algún modo la información sobre el dominio del sitio web para que el servidor web pueda enrutar la solicitud del cliente al recurso necesario. Por lo tanto, es necesario ver la primera solicitud del cliente al servidor que inicia el cifrado. Vamos a verlo con WireShark.
Aquí vemos algunas cosas interesantes:
- La primera solicitud en realidad contiene el nombre de dominio no cifrado del sitio web con el cual se inicia la conexión HTTPS
- La segunda solicitud devuelve el certificado no cifrado al cliente que contiene la información siguiente: para qué dominio ha sido emitido el mismo. En caso de bing, el certificado incluye también el campo ampliado Subject Alternative Name donde se mencionan los dominios para los cuales puede ser usado el certificado (en el certificado Bing se puede encontrar hasta las direcciones para el entorno staging).
La información mencionada más arriba ya es suficiente para el análisis, pero no es todo.
Cuando escribe la dirección del sitio web en el navegador, la primera solicitud se dirige al servidor del sitio web, la primera solicitud se dirige al servidor DNS para recibir la dirección IP para el dominio en cuestión. Las solicitudes DNS no se cifran, por lo tanto, solo al escuchar el tráfico DNS, se puede crear un historial sobre qué recursos Visitó Stepan, y también con la dirección IP del servidor DNS se puede detectar dónde más o menos estaba el mismo en aquel momento.
Luego usamos sinkholing:
El personal del FBI de EE.UU. han desinfectado una botnet que consistía en centenares de miles de enrutadores de hogar y de oficina infectados y otros dispositivos de red. El FBI consiguió controlar este servidor y bloquearlo. Además, ahora al reiniciar los entrutadores infectados la señal no se envía al servidor de los malintencionados, sino a los servidores del FBI, permitiendo detectar todos los dispositivos comprometidos.
El mundo de antivirus recomienda
No podemos informar sobre cómo exactamente el web antivirus Dr.Web SpIDer Gate y el módulo de Control parental previenen el acceso a los recursos de los malintencionados que usan los métodos de cifrado. Pero aseguramos que hacen correctamente esta tarea.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
razgen
15:20:24 2018-09-14