Эксплойт-пак Angler продолжает совершенствоваться пугающе быстро, легко осваивая не только новейшие 0-day-эксплойты, но и массу техник обхода защиты, оставаясь одним из наиболее опасных хакерских инструментов.

В ходе недавней Angler-кампании исследователи из команды Talos компании Cisco обнаружили новую технику: злоумышленники воспользовались крадеными учетными данными для регистрации огромного количества субдоменов, которые затем с высокой скоростью ротации использовались как редиректоры на вредоносные площадки или для непосредственного размещения вредоносного контента.

Эту технику эксперты назвали «затенение доменов» (domain shadowing) и считают ее эволюцией fast flux (динамической перерегистрации IP/доменов); она позволила атакующим использовать тысячи субдоменов в своих целях. В данном случае злоумышленники воспользовались тем, что владельцы доменов редко следят за сохранностью учетных данных, которые можно легко похитить с помощью фишинга. «Почему-то никто не считает нужным это делать, — сетует Крейг Уильямс (Craig Williams), менеджер Talos по пропаганде интернет-безопасности. — Владельцы регистрационных аккаунтов заходят в них лишь тогда, когда нужно что-то изменить или обновить».

Исследователи Ник Бьязини (Nick Biasini) и Джоель Эслер (Joel Esler) пишут, что специалисты Cisco обнаружили сотни скомпрометированных аккаунтов, в большинстве своем на сервисе GoDaddy, которые использовались для управления 10 тыс. уникальных поддоменов.

«Подобная методика оказалась эффективной против типовых мер пресечения вроде занесения в черные списки сайтов или IP-адресов, — отметили эксперты. — Также эти субдомены очень оперативно сменяются, что снижает время активности эксплойтов и еще сильнее затрудняет анализ. Все это совершается от имени владельцев зарегистрированных доменов, дополнительной регистрации доменов замечено не было».

По данным Cisco, новая Angler-кампания стартовала в начале декабря, хотя некоторые из более ранних образцов датированы сентябрем 2011 года; однако свыше 75% активности на субдоменах пришлось на последние три месяца. Текущая кампания представляет собой многоступенчатую атаку, для каждого этапа создаются свои поддомены. Все начинается с вредоносного рекламного баннера, перенаправляющего пользователей на поддомены первого уровня, которые, в свою очередь, направляют посетителей на страницу с эксплойтом для Adobe Flash или Microsoft Silverlight. По словам представителей Cisco, эта последняя страница часто меняется и в некоторых случаях активна лишь в течение нескольких минут.

«Злоумышленники используют множество доменов, зарегистрированных на один аккаунт, и в каждом домене регистрируют множество поддоменов, но все они ассоциируются с одним и тем же IP-адресом, — пишут эксперты из Talos. — Поддомены с множества других аккаунтов также резолвятся в этот же IP. IP-адреса также периодически меняются, и регулярно добавляются новые. На данный момент мы обнаружили более 75 уникальных IP, ассоциированных с вредоносными поддоменами».

Затенение доменов может в скором времени вытеснить fast flux, технику, позволяющую хакерам быть на шаг впереди технологий обнаружения и блокировки. В отличие от fast flux, обеспечивающей быструю ротацию большого числа IP-адресов, на которые указывают единичный домен или запись DNS, техника затенения доменов использует ротацию новых поддоменов, ассоциированных с одним доменом или небольшой группой IP-адресов.

«Если вдуматься, то это, скорее всего, развитие идеи fast flux. Эта техника позволяет атакующим с легкостью получать доступ к доменам, которые можно использовать в течение короткого времени и затем переключиться на другие, — размышляет Уильямс. — Злоумышленникам это ничего не стоит, да и использование подобной техники сложно обнаружить, поскольку черные списки в данном случае неэффективны. Ни с чем подобным мы еще не сталкивались».

Атакующие используют почти исключительно аккаунты GoDaddy, одного из крупнейших регистраторов в Интернете; по данным Cisco, в настоящее время это единственное связующее звено в текущих атаках с применением Angler.

«Аккаунты по большей части выбираются случайным образом, из-за чего нет возможности отследить, какие домены будут использоваться в следующей атаке. К тому же поддомены используются в больших объемах, короткое время и произвольным образом, без какой-либо закономерности, — пишут Бьязини и Эслер. — Это сильно затрудняет попытки блокировать подобные атаки. Исследование данной кампании также продвигается с трудом. Становится все сложнее получать активные образцы с лендинг-страницы эксплойт-пака, которая активна менее часа. Это позволяет злоумышленникам увеличить окно атаки, так как исследователям приходится прилагать больше усилий для сбора и анализа образцов».

Уильямс обеспокоен тем, что защитные технологии, которые потенциально смогут бороться с затенением доменов, также могут навредить и легитимному трафику.

«Если блоклист создан некорректно, то блокировке может подвергнуться как вредоносный, так и легитимный трафик, — предостерегает эксперт. — Если станет известно, какие учетные данные похитили злоумышленники, то может быть заблокировано все, что связано с конкретным доменом. В том числе и сам легитимный домен».

Категории: Вредоносные программы, Главное