Красные метки в черных списках
СИТУАЦИЯ
Фишинг — это вид мошенничества, целью которого является незаконное получение конфиденциальных данных пользователя (логинов, паролей, реквизитов банковской карты) с помощью социальной инженерии или путем заражения вредоносным кодом устройств пользователя.
В третьем квартале 2017 года RiskIQ обнаружил 931 665 уникальных фишинговых URL-адресов, направленных против 279 брендов. TOP-10 брендов, против которых развернуты фишинговые кампании, возглавляют бренды финансовой категории (40%) [1].
По данным «Лаборатории Касперского» в 2017 году с помощью системы «Антифишинг» было предотвращено 246 231 645 попыток перехода пользователей на фишинговые страницы. Это на 91 273 748 больше, чем в 2016 году. Более половины (53,82%) срабатываний зафиксированы на страницах с упоминанием брендов финансовой категории, таких как «банки» (27%), «платежные системы» (15,87%) и «онлайн-магазины» (10,95% (рис.1) [2].
.jpg)
Рис. 1. Распределение организаций, атакованных фишерами, по категориям, второй квартал 2017 г.
Из обоих отчетов видно, что основными целями фишинговых атак остаются компании в сфере финансовых услуг.
СПОСОБЫ РАСПРОСТРАНЕНИЯ
Основными векторами атак для распространения фишинга в банковской сфере являются:
рассылка электронных писем банковским сотрудникам якобы от имени клиентов, компаний-партнеров, регуляторов и различных веб-сервисов (госуслуги, профессиональные сообщества и т.п.);
рассылка личных сообщений через социальные сети и системы мгновенного обмена сообщениями (Skype, ICQ, WhatsApp и т.п.).
Наибольшее количество рассылок (58%) приходится на вредоносные программы типа Trojan.Downloader [3]: как правило, к почтовому сообщению прикреплено вложение с вредоносным кодом, которое впоследствии загружает и устанавливает на компьютер троянские программы. Через интернет месенджеры часто распространяются ссылки, внешне схожие с настоящими. После того, как пользователь перейдет по такой ссылке, злоумышленники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои чувствительные данные. Таким образом, злоумышленники получают доступ к учетным записям и банковским счетам пользователя.
МЕТОДЫ ОБНАРУЖЕНИЯ
Антифишинговые средства применяют следующие технологии для выявления поддельных сайтов:
использование облачных репутационных баз или проверка по спискам запрещенных (blacklist) и достоверных (whitelist) сайтов;
эвристический анализ.
Специально разработанные алгоритмы эвристического анализа предупреждают пользователя в случае, если посещаемый веб-ресурс соответствует опасным или подозрительным характеристикам. Данные алгоритмы могут быть построены на лексическом анализе контента или на анализе расположения веб-ресурса. Анализ расположения ресурса собирает информацию об ip-адресе, регистраторе домена, лице, зарегистрировавшем домен, и о доменном имени. Таким образом на основании полученных данных устанавливается степень опасности сайта [4].
Проверка фишинговых сайтов по репутационным базам является более точным методом, обеспечивающим минимальное количество ложных срабатываний, если мы имеем дело с известными угрозами [5].
В список доверенных сайтов заносятся заранее проверенные легитимные сайты. Например, список кредитных организаций формируется на основе сведений об адресах сайтов кредитных организаций Российской Федерации [6].
Blacklist пополняется за счет баз данных PhishTank [7], OpenPhish [8] и множества других подобных сервисов, а также за счет результатов эвристического и ручного анализа сайтов.
НЕДОСТАТКИ РЕПУТАЦИОННЫХ БАЗ
Существует несколько распространенных методов обхода списков достоверных сайтов. Во-первых, злоумышленники могут скупать домены, входящие в белый список, у которых недавно окончился срок регистрации. Во-вторых, владельцы сайтов добровольно могут установить код тизерных партнерских сетей или непроверенных рекламных блоков, которые будут скрыто выполнять перенаправление мобильных посетителей на вредоносную страницу с загрузкой шпионского ПО, майнить криптовалюту или оформлять платные подписки [9].
В-третьих, легитимный сайт может быть скомпрометирован. Известны случаи, когда проверка по базам достоверных сайтов проводилась без учета вредоносной активности на поддоменах, в результате чего происходило ложноотрицательное срабатывание (ошибка второго рода). В прошлом, когда средняя продолжительность жизни фишингового сайта составляла несколько недель или месяцев, для каждой фишинговой кампании регистрировалось новое доменное имя. В настоящее время такие сайты быстро вычисляются и блокируются. Поэтому злоумышленники используют легитимные домены для размещения на них фишинговых страниц. По данным Webroot почти 100% фишинговых URL-адресов расположены на легитимных сайтах [10].
В-четвертых, некоторые антивирусные и антифишинговые средства защиты формируют список достоверных веб-ресурсов на основе топ миллиона сайтов от Alexa или Cisco Umbrella.
В мае 2016 года сервис ReScan.pro провел исследование безопасности 50 тыс. сайтов рейтинга Alexa в зоне .ru. В результате около 2% сайтов среди проверенных имели те или иные проблемы безопасности [9]. В конце марта 2017 года разработчик NetworkMiner Эрик Хъелмвик (Erik Hjelmvik) проанализировал сайты, входящие в список Alexa и Umbrella, на наличие вредоносов. В итоге около 1% веб-ресурсов показали вредоносную активность [11].
Возможно, для таких средств защиты как IDS игнорирование 1-2% вредоносного трафика будет допустимо, но для антифишинговых средств защиты это неприемлемо, т.к. ежедневная аудитория некоторых зараженных сайтов составляет свыше 50 тыс. человек.
Черные списки тоже обладают рядом недостатков, ведь практически всегда найдутся способы их обхода, не предусмотренные разработчиком. Так, например, злоумышленники могут использовать различные варианты представления ip-адреса или в самих средствах защиты может происходить некорректная логика работы проверки адреса [12]. Даже в черных списках PhishTank [7] иногда встречаются URL в виде ip-адресов, которые принадлежат легитимным сайтам. Например, адрес http://213.159.214.86/ перенаправляет на amazon.com, а http://66.55.107.122/ - это тот же http://www.fnbpeterstown.com/ - сайт банка «The First National Bank of Peterstown» (рис.2).
Рис. 2. Сайт банка «The First National Bank of Peterstown»
Известны случаи, когда антивирус блокировал только главную страницу сайта, а загрузку с него файлов, в том числе вредоносных, – нет.
По данным Webroot [10] максимальная продолжительность жизни фишингового сайта составила 44 часа, а минимальная - 15 минут. Около 5% сайтов были заблокированы в течение часа, а 84% всех фишинговых сайтов просуществовали менее 24 часов. В среднем фишинговый сайт был доступен в сети менее 15 часов, т.е. большинство фишинговых сайтов закрывается в течение суток.
Поэтому злоумышленники всё чаще стараются использовать различные техники обхода, препятствующие обнаружению. Наиболее распространенные из них - это ограничение доступа к фишинговому сайту по HTTP-заголовкам «User-Agent» и/или «Referer», ip-адресу; динамическая генерация URL. Так, например, на взломанных сайтах злоумышленники размещают специальный javascript, проверяющий источник перехода. Если пользователь перешел на взломанный сайт из поисковой системы, его перенаправят на фишинговый сайт. Если он зашел по прямой ссылке или на главную страницу взломанного веб-ресурса, перенаправление не произойдет.
Как правило, ограничение доступа к фишинговому сайту осуществляется через файл .htaccess или проверкой по блоклистам с помощью PHP-сценариев. В фишинговых кампаниях, нацеленных на конкретную страну или регион, иногда встречаются ограничения по белым спискам.
При динамической генерации URL-адресов для каждого посетителя задается уникальное имя каталога или параметров URL. На взломанном веб-сервере создается новый каталог, куда затем копируются все исходные компоненты фишингового сайта. В случае с URL-параметрами, они имеют легитимные названия, но уникальные случайные значения для каждого пользователя. Главное различие между генерацией URL для каталогов и URL-параметров заключается в том, что в последнем случае на веб-сервере не создаются или не копируются новые файлы.
ЗАКЛЮЧЕНИЕ
Как было показано выше, репутационные базы имеют ряд недостатков, которые могут быть устранены следующими способами:
1. Факт попадания веб-ресурса в whitelist не означает, что он останется там навсегда, поскольку его репутация может измениться, например, в результате компрометации сайта либо окончания срока регистрации домена. Поэтому для поддержания белых списков в актуальном состоянии их нужно регулярно перепроверять на наличие вредоносной активности. То же самое касается и черных списков. Часты случаи, когда сайт был замечен в распространении фишинга, в связи с чем происходила его блокировка. После этого системные администраторы начинали подходить более ответственно к защите веб-ресурса.
2. Рекомендуется периодически удалять из белого списка «мертвые» веб-ресурсы. Это можно делать следующим образом. По умолчанию статус легитимного домена - «активный». Если он в данный момент не отвечает (не доступен), его статус меняется на «временно недоступный». Когда не отвечает временно недоступный домен, он проверяется повторно через каждую одну минуту, затем две, четыре, восемь и т.д., пока этот период не станет большим, чем две недели. В этом случае статус домена меняется на «неактивный». Ровно через две недели домен опрашивается повторно. Если неактивный домен не отвечает и через две недели, он удаляется. Похожий подход использует IANA для поддержания в актуальном состоянии списка whois-серверов.
3. Для хранения в репутационных базах хешей веб-адресов рекомендуется использовать алгоритм SHA256 взамен или совместно с MD5 и SHA-1, т.к. последние могут приводить к коллизиям [13][14].
4. Для формирования и распространения черных списков требуется взаимодействие между различными источниками, предоставляющими информацию о подозрительных фишинговых сообщениях и URL-адресах (внешние источники данных об угрозах). К таким источникам могут относиться ловушки (honeypots), разработчики средств защиты, пользователи (APWG, Phishtank) и профессиональные сообщества типа «ФинЦЕРТ» Банка России [15].
Библиография
RiskIQ’s Q3 2017 Phishing Roundup: Phishing Down, Financial Services Still a Top Target. [Электронный ресурс] https://www.riskiq.com/blog/external-threat-management/q3-2017-phishing-roundup/
Лаборатория Касперского. Спам и фишинг в 2017 году. [Электронный ресурс] https://securelist.ru/spam-and-phishing-in-2017/88630/
ЦБ РФ. Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере главного управления безопасности и защиты информации Банка России, 1 июня 2016 - 1 сентября 2017 г. [Электронный ресурс] http://www.cbr.ru/Press/event/?id=1361
COMSS. Обнаружение вредоносных ссылок – Часть 1: Методы обнаружения [Электронный ресурс] https://www.comss.ru/page.php?id=1259
COMSS. Обнаружение вредоносных ссылок – Часть 2: Эвристическое обнаружение по расположению веб-ресурса [Электронный ресурс] https://www.comss.ru/page.php?id=1260
ЦБ РФ. Сведения об адресах Web-сайтов кредитных организаций Российской Федерации по состоянию на 30.09.2017 [Электронный ресурс] http://cbr.ru/credit/CO_SitesFull.asp
Официальный сайт PhishTank. [Электронный ресурс] http://www.phishtank.com/
Официальный сайт OpenPhish. [Электронный ресурс] https://openphish.com/
Rescan.pro. Исследование безопасности 50 тыс. сайтов рейтинга Alexa в зоне .ru. [Электронный ресурс] https://goo.gl/9MYSwx
Webroot. The 2017 Webroot Threat Report. [Электронный ресурс] https://www.webroot.com/download_file/view/946
Netresec. Domain Whitelist Benchmark: Alexa vs Umbrella. [Электронный ресурс] https://goo.gl/VXcrQo
Блог Антона Лопаницина. Способы обхода проверки домена и IP адреса. [Электронный ресурс] https://bo0om.ru/domain-and-ip-checker-bypass
Virus Bulletin. It's 2016. Can we stop using MD5 in malware analyses? [Электронный ресурс] https://www.virusbulletin.com/blog/2016/07/its-2016-can-we-stop-using-md5-malware-analyses/
M.Stevens, E.Bursztein, P.Karpman, A.Albertini, Y.Markov. The first collision for full SHA-1. [Электронный ресурс] https://shattered.io/static/shattered.pdf
ЦБ РФ. «ФинЦЕРТ» Банка России. [Электронный ресурс] http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=fincert
.png)