Исследование

HTTPS на службе у злоумышленников

Зараженные сайты появляются в интернете буквально каждый день. Среди них встречаются личные блоги на WordPress, зараженные в ходе массовой автоматической атаки, и сайты крупных СМИ, каждый из которых злоумышленники заражают вручную после предварительной подготовки.  Все эти ресурсы пополняют арсенал так называемых "торговцев трафиком" – киберпреступников, перенаправляющих посетителей зараженных сайтов на веб-ресурсы своих клиентов, создателей зловредов. В конечном счете на ничего не подозревающего посетителя этих сайтов осуществляется так называемая drive-by атака, и, если в браузере пользователя или плагинах к нему есть подходящие уязвимости, на его компьютер устанавливается вредоносное ПО.

В «Лаборатории Касперского» существует система, которая автоматически обнаруживает и «посещает» зараженные сайты с целью получить вредоносный семпл и отправить его в вирусную лабораторию для исследования. Но для того чтобы эта система могла эффективнее выявлять веб-угрозы, зараженные сайты исследуются вирусными аналитиками. Они с дотошностью врачей судмедэкспертизы выясняют, каким образом осуществляется атака на компьютер пользователя, зашедшего на сайт.

Однажды подобным судмедэкспертом побывал и я. Получив на исследование сайт, при посещении которого на компьютер загружалось вредоносное ПО, я с помощью бесплатного HTTP-отладчика Fiddler принялся изучать его содержимое. Первым делом я начал просматривать страницы сайта на наличие стандартных для простейших веб-заражений тегов <script> и <iframe>, ведущих на вредоносные веб-ресурсы. Среди тегов я ничего не нашел, и это не удивительно — взломщики сайтов довольно редко оставляют ссылки на вредоносное ПО в открытом виде. Поэтому я начал вдумчиво изучать все расположенные на сайте файлы JavaScript, но и там ничего не было! На препарируемом ресурсе было несколько Flash-роликов, и, вспомнив, что загрузка вредоносного ПО может осуществляться через них, я декомпилировал и просмотрел каждый. Увы, эта зацепка также ни к чему не привела. Ситуация казалась фантастической, поэтому я еще раз все перепроверил, но безрезультатно.

Тут мой взор упал на неприметную серую строчку в Fiddler, которая обозначала, что какая-то часть содержимого сайта загружается по шифрованному каналу через HTTPS.

 

Поверить в то, что злоумышленники прошли через дорогостоящую процедуру получения SSL-сертификата для сайта, распространяющего вредоносное ПО, было сложно, ведь такие ресурсы очень быстро попадают в списки запрещенных у антивирусных компаний и поэтому теряют свою ценность. Однако, как говорил еще Шерлок Холмс, ‘Eliminate all other factors, and the one which remains must be the truth‘.

Со слабой надеждой на успех я включил в Fiddler опцию расшифровки HTTPS-трафика, и, как оказалось, под неприметной серой строчкой действительно скрывалось перенаправление на вредоносный сайт.

 

Сайт-источник вредоносного ПО, равно как и перенаправляющий на него сайт-посредник с SSL-сертификатом, были тут же добавлены в нашу базу вредоносных ресурсов. Все распространяемое при помощи исследуемого сайта вредоносное ПО было задетектировано нами еще раньше.

Но мне стало интересно, действительно ли злоумышленники приобрели доверенный сертификат для защищенной передачи вредоносного кода, или же им как-то удалось обойти проверку браузера на фальшивые SSL-сертификаты. Удивительно, но сертификат на самом деле оказался доверенным.

 

Очень часто можно видеть, как компьютерные вредители играют на доверии своих жертв: взламывают аккаунты в социальных сетях, чтобы разослать по друзьям ссылку на смешных котят (с расширением .exe, понятное дело), рисуют логотипы правоохранительных служб в интерфейсе троянцев-блокировщиков и убеждают ввести реальный номер мобильного  «для борьбы с ботами». Однако помимо этого злоумышленники также прилагают значительные усилия для того, чтобы обмануть антивирусные компании и независимых исследователей. Неприметная светло-серая строчка HTTPS-соединения – пример такой обманки, основанной на доверии специалистов к технологиям, изначально призванным защищать пользователей от информационного вредительства.

HTTPS на службе у злоумышленников

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике