Wiadomości
VoIP - idealne narzędzie do sterowania botnetami?
10 sierpnia 2011 10:36,
Antoni Steliński
Przestępcy kontrolujący sieci komputerów-zombie mogą sterować nimi za pośrednictwem... połączeń VoIP oraz sygnalizacji tonowej (DTMF - Dual Tone Multi Frequency). Dowiedli tego dwaj specjaliści, biorący udział w konferencji Defcon.
Polecamy:
Zobacz też:
Korzystanie z VoIP i DTMF ma dla przestępców dodatkową, niezmiernie istotną zaletę - skoro operator botnetu nie potrzebuje do zarządzania nim klasycznego serwera C&C (command and control), to zlikwidowanie takiej sieci zombiePC jest niezmiernie trudne (ponieważ standardową metodą zwalczania botnetów jest właśnie odcięcie zarażonych komputerów od C&C).
Z analiz specjalistów z Security Art wynika, że przestępcy mogą sterować swoim botnetem bez konieczności korzystania z Internetu - wszystkie polecenia mogą być przekazywane za pomocą komend tonowych i VoIP. Co więcej - korzystając z tego rozwiązania można bez problemu penetrować firmowe firewalle i skutecznie ukrywać złośliwy ruch przed standardowymi narzędziami do monitorowania danych (w tym również systemami DLP - Data Loss Prevention).
Oczywiście, takie rozwiązanie ma również pewne wady - okazuje się, że za pomocą VoIP czy DTMF można przekazywać jedynie mniej skomplikowane komendy i to do ograniczonej liczby komputerów-zombie. Ale eksperymenty przeprowadzone przez Kotlera i Amita pokazują, że zwykle i tak wystarczy to do skutecznego zarządzania i sterowania botnetem.
Podczas prezentacji na Defcon specjaliści pokazali działanie takiego systemu. Open-source'owy PBX Asterisk pełnił funkcję standardowego korporacyjnego PBX. Kotler i Amit wdzwonili się do niego z zewnątrz ze smartfona BlackBerry - w tym samym czasie wewnętrzne połączenie z PBX nawiązała maszyna udająca zainfekowany botwormem komputer firmowy. Następnie nawiązano połączenie konferencyjne między "komputerem-zombie" a Blackberry - wykorzystano do tego program Moshi Moshi, który wyposażono jest m.in. w translator komend przekazywanych za pomocą sygnałów tonowych.
Oczywiście, całe przedsięwzięcie jest dość skomplikowane (wymaga m.in. takiego skonfigurowania PBX, by możliwe było przekazywanie sygnałów DTMF w ramach połączenie konferencyjnego) - ale specjaliści Security Art dowiedli, że jest to możliwe do przeprowadzenia. Co więcej - podkreślają oni, że ich celem było jedynie zaprezentowanie potencjalnego zagrożenia i że gdyby mieli na to więcej czasu, to z pewnością byliby w stanie znacząco udoskonalić cały proces.
Zalecanym przez nich zabezpieczeniem jest pełne odseparowanie połączeń VoIP od ruchu internetowego w firmie, a także stałe monitorowanie VoIP pod kątem niestandardowych wydarzeń (np. niespodziewanego inicjowania połączeń konferencyjnych, szczególnie po godzinach pracy). Co więcej - administratorzy powinni pomyśleć o stworzeniu zamkniętej listy adresów IP, z których możliwe jest inicjowanie telekonferencji.
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...