Типы кибератак, поражающих темную паутину.

Темная сеть представляет собой часть интернета, доступ к которой ограничен, располагается она в тени и известна как darknet. Для получения доступа к различным сайтам требуется специальное программное обеспечение, такое как браузер Tor и сетевые конфигурации. Темная паутина — это формы одно — ранговых сетей (P2P), которыми управляют как частные лица, так и общественные организации. Tor, I2P и Freenet являются наиболее яркими примерами темных сетей, которые существуют сегодня. С появлением darknets, исследовательское сообщество сосредоточилось только на анализе его размеров и особенностях, а также видах предлагаемых товаров и услуг, на различных рынках. Тем не менее, очень мало информации о формах и природе происхождения атак, берущих своё начало из темноты. 

Даже при поверхностном рассмотрении веб-сайта, на сегодняшний день, профессионалы точно понимают, как используются уязвимости, помимо ключевой роли бот-сетей и Google Dorks в создании формы «фонового шума атаки» для повышения эффективности нападения. 

В недавно опубликованной статье попытались выяснить, применимы ли основные понятия и элементы кибератак на поверхностном полотне по отношению к темному. Благодаря внедрению высоко действенных приманок в сеть Tor в течение семи месяцев исследователи провели анализ типов атак и поведенческих моделей атакующих, которые влияют на темную паутину. 

Во-первых, мы должны понять, что такое приманка? 

Приманка — это особая форма компьютерной системы, которая построена для того, чтобы действовать как форма ловушки для засады хакеров, а также для мониторинга, смягчения или анализа попыток кибератаки получить неавторизованный доступ к веб-сайтам, центрам обработки данных и т.д. В общем, она состоит из компьютера, программного обеспечения и данных, которые эмулируют поведение реальной машины, подключенной к сети, однако система фактически изолирована и тщательно отслеживается. Все попытки связаться с приманкой считаются враждебными, поскольку никакая причина не может оправдать доступ законных пользователей к любому виду данных считываемых с нее. 

Развертывание приманок в сети Tor: 

Для целей исследования ученые использовали три формы сетевых приманок, а так же систем основанных на базе интернета. Каждая из четырех ловушек была установлена на одной виртуальной машине (VM), размещенной на территории исследования. Использование виртуальных машин, позволило им возвращаться в чистом состоянии, даже если они были скомпрометированы. Все приманки были размещены в сети Tor в виде сайтов аналогов или скрытых сервисов. 

Все использованные виртуальные машины были полностью настроенны, чтобы защитить приманки от эскалации привилегий; Другими словами, злоумышленник, который успешно уничтожил любую из используемых машин, не будет иметь доступа к изменению каких-либо файлов системы и сможет просматривать только содержимое некоторых дозволенных документов. 

Для ограничения сетевых возможностей злоумышленников использовалась группа правил брандмауэра. В частности, все исходящие и входящие соединения ко всем портам были заблокированы, кроме тех, которые необходимы Tor для запуска, и порты, связанные с услугами, явно предлагаемыми исследователями. Брандмауэр также был настроен для предотвращения атак типа «отказ в обслуживании» путем введения строгих ограничений скорости. 

Типы атак: 

В течение семи месяцев, во время которых проводился эксперимент, 287 файлов были загружены злоумышленниками на использованные приманки. Авторы статьи классифицировали обнаруженные атаки по трем категориям: 

Рассеянные атаки: 

Обычные поисковые системы иногда индексируют страницы из темной сети через прокси-серверы Tor2web. Соответственно, веб-сайты Tor могут получать часть фонового шума различных автоматизированных атак, попадающих в поверхностную сеть, между поверхностным и глубоким интернетом. 

Автоматические атаки через Tor: 

Приманки получили, по меньшей мере, полторы тысячи попыток к развороту пути. Как можно было заключить из User Agent, хакеры, скорее всего, использовали скриптовый движок «NMap» для сканирования своих целей. Приманки прошли несколько попыток сканирования, чтобы получить закрытый ключ службы Tor, который был добровольно размещен в корневом каталоге веб-приложений, используемых в эксперименте. 

В течение периода действия ловушки исследователи зафиксировали 400 попыток извлечь закрытый ключ Tor — службы. 

Ручные атаки: 

К этой категории относятся более сложные атаки. Злоумышленники запускают ручные атаки, подключенные через сеть Tor, а не через прокси-сервер. После освоения действий выполненных атакующим включена проверка локальных баз данных, фишинговой системы файлов php.info, включая passwd, crontab, pam.conf и fstab. 

Исследователи также обнаружили 71 загрузку файлов через FTP. Интересно, что злоумышленники сначала общались с сервером SSH для отправки реальных имен пользователей для входа в систему, главным образом потому, что это происходит автоматически. Затем они убили активный сеанс и повторно подключились, используя действительные имена пользователей, выгруженные из документов приманки.

Protocol Hacking Life - Авторские статьи и мануалы. Обзор софта с пошаговой настройкой. Закрытые материалы. Все о темной стороне интернета.