Русский
Русский
English
Статистика
Реклама

Хакерская инфраструктура

Где живут вредоносы хакерская инфраструктура и криминальные сервисы

05.10.2020 20:08:11 | Автор: admin
Все онлайн-бизнесы нуждаются в стабильной и надёжной инфраструктуре. Самые продвинутые рекламные кампании, стратегии выхода на рынок и удержания клиентов теряют смысл, если сайт магазина систематически недоступен, а приём платежей работает через раз. Всё это справедливо и для киберпреступного бизнеса. В этом посте мы расскажем, как устроена хакерская инфраструктура и какими способами обеспечивается бесперебойная работа криминальных сервисов.

image

У каждой кибергруппировки свой специфический набор требований к сетевой инфраструктуре. Кому-то нужны временные серверы для подбора паролей, сетевого сканирования или рассылки фишинговых писем, другим требуется пуленепробиваемый хостинг, скрытый за цепочкой обратных прокси. Однако всё разнообразие сводится к нескольким типовым сценариям:

  • хостинг сайтов с нелегальным или сомнительным контентом,
  • хостинг управляющей инфраструктуры,
  • хостинг сервисных приложений и компонентов,
  • хостинг анонимайзеров, прямых и обратных прокси,
  • выделенные серверы для проведения сканирования и брутфорс-атак,
  • платформы для фишинга и рассылки спама.

Таким образом, криминальная сетевая инфраструктура в общем случае состоит из следующих областей:

  • услуги специального хостинга,
  • хостинг на базе скомпрометированных серверов,
  • услуги по обеспечению конфиденциальности и анонимности,
  • DNS-сервисы.

Рассмотрим эти компоненты подробнее и начнём с услуг специального хостинга.

Пуленепробиваемый (bulletproof) хостинг


Любая нелегальная деятельность рано или поздно приводит к тому, что связанные с ней ресурсы становятся объектом внимания правоохранительных органов. И тогда IP-адреса этих ресурсов блокируют, серверы изымают, а домены разделегируют. Такая ситуация приводит к срыву кибератак и необходимости затрат на организацию новой инфраструктуры. Чтобы избежать такой ситуации, нелегальные структуры прибегают к услугам сервисов, которые обладают иммунитетом к запросам полиции.

Например, законодательство Белиза и Сейшельских Островов позволяет компаниям, предоставляющим услуги такого хостинга, игнорировать все запросы правоохранительных органов, относящиеся к размещаемым на их мощностях ресурсам. В результате многие пуленепробиваемые хостинги размещаются именно там.

Другой пример размещение криминального хостинга в частном доме. Именно такой нелегальный дата-центр, в котором находилось более 100 серверов, недавно обнаружила и ликвидировала полиция Украины.


Сервисы fast-flux


Fast-flux вполне легальная технология, которая используется для обеспечения повышенной доступности услуг и балансировки нагрузки с помощью постоянного переключения разрешения доменного имени на пул IP-адресов. Преступникам же такой подход позволяет добиться повышенной устойчивости к взлому и перехватам, позволяя скрыть местоположение своего сервера. Пул IP-адресов часто используется для организации цепочки обратных прокси-серверов и может обеспечиваться несколькими ресурсами: арендованными облачными VPS, узлами бот-сети или скомпрометированными машинами.

image
Схема работы fast-flux в качестве сервиса промежуточного уровня. Источник (здесь и далее, если не указано иное): Trend Micro

Суть метода fast-flux заключается в использовании коротких TTL (time-to-live) для A-записей в DNS. Это предотвращает кэширование доменного имени на промежуточных DNS-серверах и заставляет их всегда запрашивать разрешение от объявленных серверов системы доменных имён (DNS). Малые значения TTL позволяют злоумышленникам c высокой частотой направлять домен на IP-адреса в составе выделенного пула и обеспечивать доступность сервиса, даже если какие-то из адресов будут скомпрометированы или забанены провайдером.

image
Характерные для fast-flux DNS-записи

Значения TTL, показанные красным цветом, установлены с необычайно малым количеством повторных попыток и минимальным временем TTL (в секундах). При нормальных обстоятельствах это создаст дополнительную нагрузку на DNS-сервер, однако в случае с fast-flux целью является подавление механизма кэширования, чтобы клиенту выдавался актуальный IP-адрес, который в настоящее время предоставляется инфраструктурой быстрого потока.

Услуги fast-flux обычно стоят дороже, чем пуленепробиваемый хостинг, поскольку их оператору приходится поддерживать пул IP-адресов для обеспечения инфраструктуры быстрого потока, а это требует дополнительных затрат.

image
Стоимость услуг fast-flux составляет 100 долларов США за два домена в месяц, в то время как стоимость ежемесячной аренды bulletproof-сервера 10 долларов США

Защита от DDoS-атак


Киберпреступные группировки конкурируют между собой ничуть не меньше, чем легальные организации, а в качестве средства конкурентной борьбы устраивают атаки на отказ в обслуживание ресурсов конкурентов с помощью Layer4- и Layer7-методов. Именно поэтому многие bulletproof-сервисы предлагают хостинг с защитой от DDoS-атак или услугу защиты от DDoS, которой можно воспользоваться для своего ресурса.

Как правило, такие услуги предоставляются путём размещения перед защищаемым сервером специализированного ресурса, подобного WAF (Web Application Firewall, веб-брандмауэр).

VDS из скомпрометированных хостов


Скомпрометированные серверы часто используются для хостинга в течение одного или нескольких этапов их жизненного цикла криминальной монетизации.

Для захвата управления используются:

  • уязвимости в серверном ПО,
  • bruteforce-атаки,
  • похищенные API-ключи,
  • хищение учётных записей через подключенные сервера,
  • фишинговые и мошеннические кампании.

Подбор пароля, как правило, используется в атаках на сервисы SSH, VNC и RDP.
Учётные данные для доступа к захваченным серверам впоследствии продаются на подпольных интернет-магазинах:

image
Интернет-магазин учёток для доступа к скомпрометированным RDP-серверам

Для захвата более защищённых серверов могут потребоваться уязвимости нулевого дня, которые также предлагаются на киберфорумах.

image
Объявление о продаже уязвимости в OpenSMTPD, которая позволяет скомпрометировать серверы под FreeBSD, NetBSD, Debian, Fedora и Alpine Linux и использовать их для хостинга

Компрометация облачных хостингов


С точки зрения злоумышленника Google Cloud и Microsoft Azure чрезвычайно доступные ресурсы, поскольку оба позволяют пользователям с подключённой к учётной записи банковской картой попробовать услуги бесплатно. Это привело к тому, что злоумышленники активно собирают данные аккаунтов Google с подключёнными банковскими картами, а затем используют их для запуска экземпляров выделенных серверов. Для начинающих хакеров публикуются подробные туториалы:

image
Руководство по открытию хостинга Google Cloud из скомпрометированной учётной записи Google

Для тех, кто не хочет утруждать себя взломом аккаунтов, существуют магазины, предлагающие уже взломанные учётки Microsoft Azure и Google Cloud.

image

Socks, Proxy и туннели SSH


SOCKS и прокси-сервисы позволяют злоумышленникам скрываться, не привлекая к себе слишком много внимания и не вызывая обнаружения с помощью инструментов мониторинга сетевой безопасности.

Ввиду востребованности этого инструмента относительно легко найти ресурсы, предлагающие приобрести SOCKS прокси, причём оплатить покупку можно криптовалютой.

image
Прайс-лист на SOCKS прокси, которые можно оплатить с помощью Bitcoin и Ethereum


Ещё один способ сокрытия коммуникации туннелирование в легитимные протоколы, например, в SSH:

image
Прайс-лист на SSH-туннели

Цена SSH-туннелей зависит от страны расположения. Местоположение очень важно для некоторых видов незаконной деятельности. Например, антифрод-системы банков соотносят информацию о владельце карты с геолокацией IP-адреса, по которому была предпринята попытка её использования. Поэтому преступники готовы платить больше, чтобы купить туннель, который соответствует не только нужной стране, но и городу.

Анонимизирующие VPN


Ещё один востребованный в киберкриминальной среде сервис анонимные VPN, причём в этой части предпочтения группировок разделились: одни предпочитают использовать легальные коммерческие VPN, подобные NordVPN или ProtonVPN, другие арендуют аналогичные услуги на подпольном рынке, третьи самостоятельно создают инфраструктуру на базе OpenVPN, WireGuard или SoftEther.

Один из признаков, косвенно свидетельствующих о том, что для предоставления VPN-услуг используются скомпрометированные хосты, является указание срока гарантии доступности услуги. Чем меньше числа, тем более подозрительны эти службы. Вряд ли легальный VPN-провайдер напишет в условиях, что В случае, если предоставленные учётные данные не будут работать в течение следующих 24 (48 или 72) часов, новые учётные данные будут предоставлены бесплатно. Но это именно то, что обычно присутствует в предложениях нелегальных сервисов.

image
Объявление о продаже короткоживущих VPN

Другой подозрительный признак возможного преступного характера анонимизации услуг срок действия договора. Легальные VPN-провайдеры предоставляют услуги минимум на месяц, в то время как в криминальной среде встречаются предложения VPN-сервисов на срок не более одного дня. Трудно представить себе случаи законного использования для которых достаточно такого незначительного времени. Однако для криминала этого вполне достаточно, чтобы

  • проверить действительность скомпрометированных банковских карт,
  • проверить действительность скомпрометированных учётных записей,
  • зарегистрировать учётные записи на облачных платформах или на платформе для контент-хостинга,
  • сделать мошенническую рассылку в соцсетях,
  • запустить вредоносную рекламную кампанию.

Инфраструктурные предложения теневого кибербизнеса не ограничиваются относительно стандартными сервисами. Изучая объявления, можно встретить довольно интересные услуги, которые пока востребованы нишевыми клиентами, либо представляют собой набирающие популярность тенденции.

Мобильные рабочие места


Некоторые поставщики предлагают желающим воспользоваться пуленепробиваемыми мобильными рабочими местами, к которым не смогут получить доступ посторонние.

image

И хотя формально политика этого сайта запрещает распространение вредоносных программ, мы обнаружили на форуме рекламу, намекающую, что другие вредоносные действия допустимы:

image

В предложении упоминается полная анонимность, невозможность определения местоположения пользователя, высокоскоростное подключение к интернету, защита от DDoS, микшер исходящего трафика и пять различных VPN. Несмотря на то, что прямое сканирование портов, брутфорс и распространение вредоносного ПО не допускаются, с помощью таких АРМ злоумышленник может совершать и другие преступные действия.

Анонимизирующие микшеры трафика


Tor не единственный способ спрятаться от бдительного ока правоохранителей и конкурентов. Сервисы, предлагающие непробиваемые рабочие места, разработали собственные микшеры трафика с использованием географически распределённой сети маршрутизаторов. Этот трафик смешивается с трафиком анонимных VPS, которые периодически перемещаются между дата-центрами, расположенными в разных странах, что ещё больше затрудняет трассировку таких систем.

Также доступны пользовательские сервисы для объединения VPN-соединений, Tor и географически распределённых наборов маршрутизаторов. Эти комбинации позволяют создать настолько сложную цепь хостов и редиректоров, отследить которую практически невозможно.

image
Предложение цепочки обфускации трафика

Например, один из сервисов предлагает воспользоваться такой цепочкой:
Хост VPN1 VPN2 TOR шлюз для скачущего трафика (bouncing traffic) микшер трафика географически распределённые маршрутизаторы для скачущего трафика удалённый рабочий стол (RDP) для работы подключение через другие географически распределённые маршрутизаторы Tor-серверы выходной узел точка назначения.

Выводы


Наше исследование показало, что киберпреступная инфраструктура значительно более развита, чем предполагали многие исследователи. Мы считаем, что именно этот компонент является одним из наиболее зрелых аспектов криминального бизнеса. Сетевые черви уступают место троянским программам, эксплойты браузеров целевым фишинговым атакам, а на смену бизнес-модели кражи информации приходит прямое вымогательство. Однако инфраструктура, на которой базируются все эти действия, остаётся востребованной и постоянно развивается, предлагая новые технически сложные услуги.

Киберпреступники нуждаются в надёжном сервисе, который позволит им действовать, как можно дольше скрываясь от органов правопорядка. Этот спрос породил целую индустрию полулегальных услуг, которые обслуживают киберпреступников, косвенно помогая криминалу. Проблема заключается в том, что предоставление надёжных, не поддающихся отслеживанию услуг хостинга само по себе не является незаконным. Решение этой проблемы является очень важной частью головоломки для тех, кто борется с киберпреступностью как с глобальной проблемой.
Подробнее..

Надёжный, неуловимый, пуленепробиваемый какой хостинг использует киберкриминал

09.11.2020 18:08:51 | Автор: admin
Один из факторов успеха любого онлайн-бизнеса использование надёжной и устойчивой инфраструктуры: иметь онлайн-бизнес значит быть онлайн. Это справедливо как для легального бизнеса, так и для киберпреступного. Наш свежий отчёт завершает серию исследований о рынке нелегального хостинга. В первой части мы рассказали о хакерской инфраструктуре и нелегальных интернет-услугах, во второй о том, как злоумышленники используют захваченные серверы и как обнаружить такие взломы. Последняя часть посвящена пуленепробиваемому хостингу (bulletproof hosting, BPH). В этом посте наиболее важные и интересные выводы из этого исследования.
image

Что такое пуленепробиваемый хостинг


Пуленепробиваемый хостинг, или BPH, это хостинг, который позволяет вести нелегальную деятельность, запрещённую у обычных провайдеров: размещение вредоносных программ, пиратского контента или похищенных данных.
BPH-провайдеры либо игнорируют жалобы и запросы от правоохранительных органов, либо заранее предупреждают клиентов, чтобы у них было время адаптировать свой бизнес. Во многих случаях BPH позволяют злоумышленнику скрыть свою истинную личность.

image
Разновидности BPH. Виды услуг и стоимость. Источник (здесь и далее, если не указано иное): Trend Micro

BPH, использующий короткоживущую инфраструктуру, состоящую из захваченных или скомпрометированных серверов, имеет высокий уровень устойчивости. Провайдеры BPH не является официальными владельцами ресурсов, доступ к которым предоставляют, поэтому любые претензии прилетят к настоящему владельцу, а не к ним. Следствие этого является то, что любой хост в их сети может быть удалён в любое время, например, после того как владелец обнаружит компрометацию.
Такие BPH крайне дёшевы и удобны для проведения быстрых операций: распространения спама, размещения реверсивных прокси, массового сканирования и брут-форса. Даже если захваченный сервер будет изъят или удалён, потеряется лишь незначительная часть информации.
Другая разновидность BP-хостеров перепродаёт услуги легальных компаний. Их пуленепробиваемость обеспечивается благодаря способности реселлеров точно соответствовать потребностям киберкриминала, а также за счёт налаженных отношениях с легальными хостинг-провайдерами при обработке запросов о злоупотреблениях. В некоторых случаях реселлеры могут выступать в роли посредников при разрешении конфликтов и споров между поставщиками и потребителями хостинговых услуг.
Для систем, требующих длительных периодов доступности, более жизнеспособным подходом является хостинг в центрах обработки данных, где BPH-провайдер владеет инфраструктурой. Такие провайдеры, как правило, стратегически распределяют свои ресурсы и строят или арендуют инфраструктуру по всему миру, принимая во внимание местные правовые нормы, географические и национальные особенности, профессионализм местных правоохранительных органов и уровень коррупции в государственных учреждениях. Такой BPH самый дорогой, но и самый стабильный.

Способы обеспечения непробиваемости


Каждый BPH-провайдер имеет ограниченный перечень услуг, которые тот оказывает криминалитету. В зависимости от соглашений с вышестоящими провайдерами они публикуют перечень строго запрещённой деятельности и список того, что считается допустимым.

Использование особенностей законодательства
Источником таких ограничений являются различия в законодательствах разных стран, поэтому предмет особенного внимания BPH-провайдеров регион размещения дата-центра, информация о регистрации компании и партнёры по сетевому пирингу.

image
Криминальные активности и их степень приемлемости в разных странах. Y (yes) означает, что указанные действия, по отзывам пользователей подпольных хостинг-услуг, возможны с использованием серверов, расположенных в отмеченной стране, N (no) для указанных действий серверы в этой стране решительно не рекомендуются, M (maybe) использование серверов возможно, но с некоторыми ограничениями

Одна из популярных стран для размещения BPH-инфраструктуры Украина. Причина этого в том, что государственное регулирование и правоприменение этой страны во многих случаях значительно менее жёсткие по сравнению с соседними странами. В то же время действия правоохранителей Украины менее предсказуемы: известны случаи, когда СБУ проводили самостоятельные расследования и арестовывала владельцев пуленепробиваемых хостингов.

Швейцария и Нидерланды также популярны у владельцев BPH как страны, подходящие для создания компаний-прокладок для проведения прокси-хостинга. Это обусловлено тем, что в соответствии с законодательством этих стран хостинг заблаговременно получает уведомление о жалобе, что даёт возможность переместить системы в безопасные локации.
Законодательство Китая достаточно терпимо относится к рассылке спама и сетевому сканированию, однако крайне жёстко реагирует на все виды деятельности, связанные с азартными играми или политической активностью.
В Канаде для изъятия контента требуется длительная подготовка документов, на основании которых выносится решение суда, а уже потом производятся действия с оборудованием и данными.
В США считается допустимым размещение порнографического контента за исключением, разумеется, детского порно, однако рассылка спама, сетевое сканирование и брутфорс приводят к многочисленным жалобам. Помимо этого, правоохранители США нетерпимо относятся к нарушениям законодательства о копирайте (DMCA и другие подобные акты).
В России очень строго относятся к порнографическим материалам, и большая часть порнографического контента считается недопустимым. На многих хостингах к категории запрещённых относятся материалы, связанные с наркотиками и политическим контентом. Однако пользователи таких провайдеров отмечают, что их те проявляют значительную гибкость, заранее предупреждая о поступивших жалобах, а также терпимо относятся к вредоносной деятельности, пока она не направлена против российских компаний и граждан.
Сейшельские острова, Белиз, Доминикана и Панама крайне популярны как место для размещения BPH из-за хороших интернет-каналов и лояльных законов, которые допускают весьма неторопливое реагирование на любые жалобы. Для таких BPH-сервисов даже появился термин офшорный хостинг.

Анонимность
Одна из важнейших характеристик BPH это степень анонимности. Возможность скрыть личность владельца криминального ресурса, принимать анонимные платежи в криптовалютах, регистрировать домены на фиктивные данные и другие подобные свойства являются определяющими при выборе платформы для криминального хостинга.

image
Реклама анонимного хостинга

Анонимность рекламируют даже некоторые законные хостинговые платформы. Например, компания Domains by Proxy строит бизнес на сокрытии личности клиента от большинства публичных запросов. Однако следует отметить, что компания всё-таки реагирует на запросы о раскрытии информации о владельце сайта в случае получения претензий, связанных с нарушением авторских прав.

image
Реклама Domains by Proxy

Гибкость и адаптивность
Эти характеристики чрезвычайно важны для BPH-провайдеров. Их практическим проявлением может быть, например, перемещение серверов или виртуальных машин из одной страны в другую, если в прежней локации возникли неожиданные юридические проблемы. Это гарантирует, что вредоносная служба продолжит работать несмотря на попытки правоохранительных органов изъять оборудование. В комплекте с внешним реверсивным прокси-сервером такая хостинговая модель идеально подходит для BPH-услуг с высокой степенью доступности.

Защита от DDoS
Надёжная сетевая инфраструктура лишь половина дела. Как и любой другой сайт в интернете, киберпреступные ресурсы могут стать мишенью для кибератак, начиная от отказа в обслуживании (DoS) и заканчивая попытками взлома. Вероятность таких инцидентов у таких ресурсов выше, чем у обычных сайтов: недовольные пользователи могут быть и на обычных сайтах, но посетители хакерских ресурсов, с большей вероятностью могут устроить атаку.
Простой во время DDoS-атаки может повлиять на репутацию ресурса, в результате чего его аудитория переметнётся к конкурентам, а владелец сайта потеряет доход.
DDoS-атаки могут проводиться на различных уровнях модели OSI. Как правило, атаки на уровень 7 требуют более сложных методов, но при этом от них сложнее защититься, чем от банального SYN-flood (уровень 4). Именно поэтому многие сайты используют профессиональные сервисы, которые защищают их от DoS-атак на прикладном уровне, и криминальные форумы в этом плане ничем не отличаются от легальных ресурсов.

image
Экран одного из сервисов по защите от DDoS-атак

Анти-скрапинг
Ещё одна проблема, с которой сталкиваются операторы криминальных форумов при выборе хостинга, заключается в том, что многие поисковые системы, организации, правоохранительные органы и исследователи пытаются автоматизировать процесс выявления нелегального контента.
Собранная информация затем публикуется в отчётах об угрозах или используется в расследованиях, проводимых правоохранительными органами. Это может привлечь нежелательное внимание и нанести вред репутации форума.
Для предотвращения скрапинга на различных хостингах используются разные механизмы. Например, для гостей может быть ограничено количество страниц, которые они могут просмотреть в течение суток.

image
Уведомление системы защиты от скрапинга

Другие форумы используют капчу или контрольные вопросы, чтобы удостовериться, что имеют дело с живым человеком.

Рекомендации по противодействию


Противодействовать криминальным ресурсам, размещённым на BPH довольно сложно. В ходе работы над исследованием мы разработали следующие методы, которые могут помочь выявить компании, предоставляющие услуги нелегального хостинга. Вот что можно сделать:
определить, какие диапазоны IP-адресов находятся в публичных чёрных списках; особое внимание уделить адресам, связанным с большим количеством публичных запросов о злоупотреблениях, поскольку это может указывать на деятельность BPH;
проанализировать поведение автономной системы и данные пиринга это также может помочь выявить активность, связанную с BPH.
после обнаружения одного хоста BPH использовать полученный цифровой отпечаток, чтобы найти другие, которые могут быть связаны с тем же провайдером.
В качестве мер, которые могут способствовать прекращению деятельности подпольных хостинговых компаний без необходимости обнаружения или отключения их серверов мы предлагаем следующие:
отправка должным образом оформленных запросов о злоупотреблениях подозреваемому провайдеру нелегального хостинга и его вышестоящим партнёрам;
добавление диапазонов IP-адресов сетей BPH в популярные чёрные списки;
увеличение эксплуатационных расходов BPH для подрыва прибыльности их бизнеса;
подрыв репутации провайдера BPH в киберпреступном подполье создание аккаунтов на подпольных форумах и публикация от их имени постов, в которых высказываются сомнения в безопасности BPH или его возможном сотрудничестве с властями.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru