1.3. Многофункциональные атаки

Как уже было указано выше, данная группа атак характеризуется тем, что результатом атаки может являться отказ в доступе жертвы либо иные деструктивные воздействия. Одними из наиболее распространенных атак данного типа являются атаки типа: «Email-flood», «IM-flood» и «SMS-flood». Рассмотрим их более подробно.

Атаки типа «Email-flood»

Данные атаки, как правило используются для организации флуда на почтовые сервисы, которые функционируют на базе почтового протокола SMTP [76, 77, 84].

Рассмотрим более подробно протокол SMTP, с помощью которого производится передача электронных писем [15, 87].

Письмо, передаваемое по протоколу SMTP состоит из следующих частей [87]:

1. Заголовок SMTP-протокола, который используется почтовым сервером и теряется при трансляции передаваемого сообщения в не-SMTP протоколы (POP3, IMAP), если пользователь использует их для доступа к почтовому ящику.

Заголовки SMTP содержат, в свою очередь, содержат:

– Имя сервера или компьютера пользователя, обратившегося к серверу – параметр сообщения HELO/EHLO, обычно дополняющийся «объективной» информацией самим сервером (HELO может содержать произвольное имя, а IP-адрес отправителя подделать существенно сложнее), по IP-адресу осуществляется поиск записи в DNS, всё это вместе позволяет идентифицировать отправителя на сетевом уровне.

– Поле MAIL FROM, содержащее адрес отправителя, который может содержать адрес и несуществующего домена.

– Поле RCPT TO, содержащее адрес получателя и которое, в основном, проверяется на существование данного в сети.

2. Само сообщение, состоящее из:

– Заголовка письма, которые описываются стандартами RFC 2076 и RFC 4021. Заголовки письма отделяются от тела письма пустой строкой. В них, как правило, указываются: список серверов, через которые прошло письмо, информация о схожести данного письма со спамом, уровень срочности письма, программа, с помощью которой было создано письмо. Заголовки письма, за исключением отправителя и получателя письма, темы и даты отправки, как правило, скрываются почтовыми клиентами от пользователя, так как содержат служебную информацию, имеющую мало пользы для конечного пользователя.

– Тела письма, которое, как уже было указано выше, отделяется от заголовка письма пустой строкой, а заканчивается символом перевода строки, согласно стандарту SMTP. В теле сообщения используется 7-битная кодировка ASCII, что приводит к использованию различных методов кодирования (обычно, Base64) для передачи тела письма без искажений на языке, отличном от английского [87].

За обработку писем отвечает почтовый сервер, через который осуществляется все взаимодействие при обращении почтового клиента к определенным порталам через веб-интерфейс [87].

Ключевой частью почтового сервера является агент пересылки почты, который принимает и передает почтовые сообщения. Сам агент зачастую называют также почтовым сервером, он работает по протоколу SMTP, и его одного уже может быть достаточно для создания системы обмена электронными письмами [77].

Получая письмо, агент пересылки почты помещает его в выделенный под конкретного пользователя на сервере почтовый ящик. Для доступа к почтовому ящику используется агент доставки почты, в задачи которого входит, по запросу почтового клиента, передать электронное письмо из почтового ящика на сервере. Агент доставки почты никак не связан с процессом передачи почты, за который отвечает агент пересылки почты и при утрате им работоспособности почту можно получить и другим путем, например, через веб-интерфейс [80].

Так как коммуникация между пользователями с использованием электронной почты является весьма популярным средством общения, это привело к появлению атак с использованием e-mail [87].

Флуд-атаки, реализуемые в отношении почтовых серверов (атаки типа «Email-flood»), являются одним из самых прибыльных способов монетизации подконтрольных злоумышленнику хостов, реализующих атаку (ботнетов).

Осуществляются они, как правило, с помощью программы Email-flooder. Данная программа относится к классу вредоносных программ, которые разработаны для автоматизации создания других вирусов, червей или троянских программ, организации DoS/DDoS-атак на удаленные сервера, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, Email-Flooder не представляют угрозы непосредственно компьютеру, на котором исполняются. Он является программой, основной функцией которой является «забивание мусором» (бесполезными сообщениями) каналов электронной почты [79, 85, 86]. Email-Flooder состоит из клиентской и серверной части. Серверная часть устанавливается на компьютер жертвы, а клиентская часть – на компьютер злоумышленника. Злоумышленник посредством клиентской части производит управление программой путем отправки соответствующих сообщений серверной части. Зачастую в состав Email-Flooder входит конфигурирующая компонента, позволяющая настраивать серверную часть вредоносного программного обеспечения и, для обеспечения скрытности распространения, прикреплять его к различным файлам [81, 82].

Первым этапом работы программы Email-Flooder является проникновение в систему жертвы. Это может осуществляться как пользователем, который самостоятельно устанавливает вредоносное программное обеспечение, считая, что перед ним находится необходимая ему программа, так и путем взлома сайтов производителей программного обеспечения или проникновения через уязвимости в операционных системах. Далее функции Email-Flooder внедряются в программное обеспечение жертвы путем помещения себя в указанный каталог и регистрации в реестре системы как автоматически запускаемый процесс или же путем внедрения в библиотеку, которая загружается легитимным программным обеспечением при старте системы. После внедрения Email-Flooder ведет себя так, что пользователь не получает никаких уведомлений о действиях данной программы. Следующим этапом функционирования Email-Flooder является ожидание команд от злоумышленника, которые он может получать как напрямую от клиентской части, так и через специально выделенный почтовый ящик, так и через различные сервисы передачи сообщений (ICQ, IRC и пр.). В зависимости от поступившей команды сервер может рассылать вредоносные сообщения через «открытые сервисы» (почтовые релеи, proxy) или через другие зараженные пользовательские компьютеры, серверы, форматируя динамический текст и подделывая заголовки сообщений с целью обхождения анти-спам фильтров, а также отслеживая статус сообщения, отправленного на конкретный адрес (в случае, если Email-Flooder используется для массовых рассылок) [75, 79].

«Email-flood» может использоваться для:

1. Распространения нежелательной рекламы, рассылаемой через каналы электронной почты. Распространение осуществляется путем отправки большого количества писем с целью рекламы товаров и услуг для получения финансовой выгоды от тех, кто отвечает на подобные письма. За последние десять лет сфера применения спама расширилась, а объем доставки вырос значительно. Изначально спам рассылался на единичные адреса пользователей и его было легко блокировать, однако, с течением времени, скорость и количество передачи информации в сети Интернет резко возросли и это дало возможность злоумышленникам быстро и дешево массово рассылать спам-сообщения. В соответствии с отчетами компаний, занимающихся анализом угроз в сети Интернет, доля спамерских сообщений существенно превышает по объему долю сообщений, несущих в себе полезную информацию [75-86].

В России спам запрещён «Законом о рекламе» (ст.18, п.1):

«Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием».

В официальных комментариях Федеральной антимонопольной службы, уполномоченной осуществлять функции контроля за соблюдением этого закона, указывалось на применимость данной нормы к интернет-рассылкам. За нарушение статьи 18 рекламораспространитель несёт ответственность в соответствии с законодательством об административных правонарушениях. Однако Федеральная антимонопольная служба не имеет полномочий для проведения оперативно-розыскных мероприятий по установлению лица, ответственного за спам, а уполномоченные на это органы не могут их проводить в связи с отсутствием в российском административном и уголовном законодательстве ответственности за рассылку спама.

2. Целенаправленного насыщения канала передачи информации и почтовых серверов, имеющего своей целью исчерпать системные ресурсы почтовых сервисов (центрального процессора, дисковой или оперативной память или каналов связи) и тем самым привести их в недоступное состояние. Реализация атаки такого типа требует отправки не менее нескольких миллионов сообщений, которые должны быть разосланы за небольшое время, чтобы успеть произвести атаку до перенастройки (или обновления базы данных) фильтров [77, 78].

Однако быстрая рассылка столь большого количество электронных писем требует наличия достаточно большого количества вычислительных ресурсов у злоумышленника.

3. Отправки фиктивных предложений на корпоративные почты компаний, которые приводят к замедлению работы той или иной организации, так как ее сотрудники вынуждены просматривать и анализировать ложные письма [81, 82].

4. Распространения вредоносного программного обеспечения и проведения фишинговых атак. Целью распространения вредоносного программного обеспечения является заражение компьютера пользователя, открывшего письмо из спамерских рассылок. Далее зараженный компьютер может использоваться злоумышленником для проведения дальнейших спам-рассылок или же других вредоносных воздействий в сети [83, 85].

5. Организации спамерских рассылок для отвлечения внимания. Письма из подобных рассылок, не содержат в себе признаков спама (наличие рекламы, вредоносных программ или утилит, ссылок на сторонние сайты) и отправляются циклично с различных IP-адресов, а также могут быть уникальными по содержанию. Из-за вышеприведенных признаков, спам-фильтры, как правило, не реагируют на данные сообщения и пропускают их к конечному пользователю. Однако количество подобных сообщений может быть очень велико и в течение суток на почтовый ящик пользователя могут поступать десятки тысяч сообщений, что приводит к невозможности комфортной работы пользователя со своим почтовым ящиком. Данная атака производится целенаправленно, в отличие от рассылки нежелательных рекламных сообщений, и через спам-фильтры до пользователя может доходить более 60% отправленных вредоносных писем [75, 80].

Атака типа «IM-flood»

Системы мгновенного обмена сообщениями (англ. Instant messengers или IM) получили широкое распространение в сети Интернет, так как позволяют общаться людям, находящимися в различных точках мира в режиме реального времени. Для общения с помощью IM достаточно иметь доступ в Интернет и программу-клиент для мгновенного обмена сообщениями, многообразие которых довольно велико. Помимо обмена текстовыми сообщениями, подобные программы могут предоставлять еще и дополнительные функции, такие как: просмотр персональной информации собеседника, различные режимы пребывания пользователя в Сети, передача аудио и видеоинформации и др. Те или иные клиентские программы пользуются разной популярностью в разных регионах мира [82].

Рассмотрим более подробно систему мгновенного обмена сообщениями на примере сети XMPP.

Отличается данная сеть от других IM-сетей децентрализованной структурой. Она состоит из большого числа изолированных и публичных серверов, а также клиентов, которые к ним подключаются. Соединения производятся как между серверами, так и между клиентами и сервером. Связь с другими IM-сетями производится опционально с помощью шлюзов на стороне сервера. Подключение к серверу реализуется с помощью протокола TCP, который также используется для взаимодействия серверов между собой [87].

Основными обязанностями сервера в сетях XMPP являются установление и поддержание соединений с другими объектами в виде XML-потоков между ними, а также маршрутизации информации между данными объектами. Большинство серверов также осуществляют хранение клиентской информации (списка контактов клиентов, данных о присутствии клиента). Каждый сервер идентифицируется сетевым адресом. Взаимодействие серверов подобно протоколу обмена SMTP. Коммуникации между серверами являются опционными и осуществляются с помощью XML-потоков, сопряженных с TCP-соединениями [87].

Клиенты в сетях XMPP, как было указано выше, подключаются к серверу посредством протокола TCP. Каждый клиент обладает уникальным идентификатором, который подобен адресам электронной почты, вначале которого идет имя пользователя на конкретном сервере, затем знак «@» и имя сервера. На основании уникального идентификатора клиента определяется его принадлежность к тому или иному серверу. Для каждого авторизованного клиента к серверу могут одновременно подключаться несколько ресурсов (например, устройств или позиций). Каждый ресурс характеризуется идентификатором XMPP-адреса (например, <node@domain/home> или <node@domain/work>), как это определено схемой адресации. Рекомендованным номером порта для соединения клиента с сервером является 5222, как это фиксировано IANA [87].

Шлюзы создаются сервером и поддерживаются им. Основной задачей, для которой используются шлюзы, является трансляция данных, передаваемых из XMPP-сети в сети, не поддерживающие XMPP, а также обратно. Примерами могут служить шлюзы для электронной почты, а также сервисы типа AIM, ICQ, MSN Messenger или Yahoo! Instant Messenger.

Процедура передачи сообщения в сети XMPP выглядит следующим образом:

– Клиент передает сообщение на сервер. На данном этапе происходит транслирование текста в формат XML на стороне клиента и пересылка его серверу.

– Сервер получает сообщение, распаковывает и дешифрует его, после чего либо отправляет сообщение другому клиенту либо другому серверу, если адрес клиента-получателя не принадлежит данному серверу.

Как и другие популярные услуги в сети Интернет, системы мгновенного обмена сообщениями доступны для злоумышленников, что и позволяет с их использованием осуществлять следующие виды деструктивных воздействий [75-86]:

1. Кража паролей от учетных записей клиентских программ систем мгновенного обмена сообщениями путем простого перебора символов (методом грубой силы) или же путем обмана пользователей.

2. Распространение вредоносного программного обеспечения посредством IM-систем путем отправления сообщений со ссылками, при переходе на которые пользователь попадает на вредоносные веб-страницы, с которых предлагается скачать и установить вредоносное программное обеспечение или же этот процесс происходит в фоновом режиме при открытии страницы в сети Интернет.

3. Рассылка сообщений, содержащих нежелательную рекламу (спам-рассылки).

4. IM-flood атаки, целью которых является насыщение канала передачи информации серверов передачи IM-сообщений путем исчерпания их системных ресурсов (центрального процессора, дисковой или оперативной память или каналов связи) и тем самым приведения их в недоступное состояние.

Так как IM-flood атаки могут привести сервер в недоступное состояние и тем самым нанести определенный ущерб большому количеству пользователей, взаимодействующих с данным сервером, данный тип атак является наиболее деструктивных из всех вышеперечисленных деструктивных воздействий, реализуемых в IM-сетях [82].

Рассмотрим атаки типа «IM-flood» более подробно.

Для их организации используется программа IM-Flooder, основной функцией которой и является забивание бесполезными сообщениями системы мгновенного обмена сообщениями. При реализации атаки типа «IM-flood» количество поступающих к жертве запросов может быть различным и приводить как к частичной, так и к полной потере работоспособности ресурсов жертвы. Атака производится с множества учетных записей в сети автоматизированным путем, так как при отправке сообщений от одного или нескольких клиентов жертва может игнорировать сообщения от них [75, 78, 81, 83].

Рассмотрим алгоритм работы программы IM-Flooder [82].

Первым этапом является проникновение в систему. Проникновение может производиться несколькими способами:

1. установкой программы самим пользователем, ошибочно полагающим, что перед ним необходимая ему программа;

2. распространение IM-Flooder с использованием «социального инжиниринга»;

3. внедрение IM-Flooder на сайты производителей программного обеспечения посредством использования уязвимостей, допущенных при создании данных сайтов;

4. скрытное проникновение через уязвимости в операционных системах и программном обеспечении, установленном на компьютере пользователя сети.

Далее идет запуск IM-Flooder, при котором данная программа самостоятельно устанавливает себя на компьютере жертвы путем помещения себя в указанный злоумышленником каталог, регистрации в реестре как автоматически запускающийся процесс или внедрения в библиотеку, которая загружается при старте операционной системы каким-либо программным обеспечением, установленным на зараженном компьютере. Далее происходит перехват одного из сокетов системы и последующее отслеживание данных, передаваемых по данному сокету от злоумышленника, причем данные передаются таким образом, что пользователь не получает никаких уведомлений о действии IM-Flooder.

Атака типа «SMS-flood»

Рынок мобильных сообщений быстро растет и является очень прибыльным для операторов сотовой связи. Сегодня текстовые сообщения являются наиболее широко используемой мобильной службой на планете. 72% всех пользователей мобильных телефонов во всем мире, или 1,9 миллиарда абонентов, являются активными пользователями Сервиса Коротких Сообщений (SMS). В настоящее время в большинстве стран мира канал мобильных сообщений ценится, как «чистый» и доверенный. Он все более широко используется, для авторизации в процессе осуществления банковских транзакций, и представляет собой ценную возможность для дальнейшей монетизации через мобильную рекламу [86].

Рассмотрим более подробно службу коротких сообщений SMS.

Служба коротких сообщений SMS – услуга, предоставляемая операторами цифровых стандартов мобильной связи, заключающаяся в отправке коротких текстовых сообщений на мобильный телефон абонента мобильной сети. Каждое сообщение содержит до 160 символов при использовании знаков латинского алфавита или до 70 символов при использовании другого алфавита, например, арабского или китайского [86].

При использовании SMS не устанавливается прямое соединение с каким-либо абонентом, поэтому не оплачивается время на линии. Сообщения посылаются службе SMS, которая отвечает за их доставку. Если абонент-адресат доступен SMS, сообщение доставляется получателю. Если адресат не доступен, сообщение хранится до тех пор, пока не будет доставлено или пока не истечет срок его доставки [87].

С точки зрения SMS, сотовый телефон можно рассматривать, как двусторонний пейджер, с одним большим преимуществом: сообщение будет обязательно доставлено, вне зависимости, находится ли абонент в зоне приема в момент его отправки, а точнее будут предприниматься попытки его доставки до тех пор, пока не истечет «срок годности» сообщения или не иссякнут все попытки доставки сообшения [87].

Служба коротких сообщений обеспечивается при помощи центра обслуживания коротких сообщений (SMSC), который обеспечивает хранение принятых сообщений и дальнейшую их передачу адресатам. В свою очередь, в сервисе SMS определены два сервиса типа «точка-точка»: сервис по доставке сообщения от мобильного телефона до Сервисного Центра Коротких сообщений (Mobile originated) и сервис по доставке сообщения от Сервисного Центра Коротких сообщений до мобильного телефона (Mobile terminated) [87].

SMS-сообщения передаются с использованием протокола одноранговых коротких сообщений (SMPP), который является открытым протоколом передачи сообщений, определяющий набор операций для обмена сообщениями и данные, которыми должны обмениваться элементы с узлами обслуживания, и позволяющий элементам коротких сообщений (SMEs) вне мобильной сети взаимодействовать с узлом обслуживания коротких сообщений (SMSC). В сети также функционируют немобильные элементы внешних коротких сообщений (ESMEs), предоставляющие сообщения на SMSC или получающие их от него. Абоненты сотовой сети могут получать сообщения от мобильной станции из одного или более ESME.

Протокол SMPP базируется на обмене Модулей Данных Протокола (Протокольных Единиц Обмена) (PDUs) запроса и ответа между абонентами мобильной сети и центром обслуживания сообщений по базовым сетевым соединениям TCP/IP или X.25 [87].

Каждая операция SMPP должна состоять из PDU запроса и PDU ассоциированного ответа. Получающий элемент должен вернуть ассоциированный SMPP ответ на запрос PDU SMPP [87].

Обмен сообщений между ESME и SMSC через SMPP может подразделяться на категории по трем отдельным группам транзакций следующим образом [87]:

1) сообщения, отправляемые из ESME (Передатчик) на SMSC;

2) сообщения, отправляемые из SMSC на ESME (Приемник);

3) сообщения, отправляемые из ESME (Приемопередатчик) на SMSC и сообщения, посылаемые из SMSC на ESME (Приемопередатчик).

Все действия по передаче и приему SMS проводятся в соответствии с транспортным протоколом (SM-TL) и обеспечивают для протокола приложений операции по приему, передаче SMS и получении отчетов о ранее переданных SMS. Транспортный протокол (SM-TL) выполняет операции обмена информацией при помощи шести разных типов PDU [87].

Далее рассмотрим атаки, реализуемые с использованием SMS.

Успех мобильных сообщений, к сожалению, сделал их очень привлекательным объектом для флуд- и спам-атак. Из-за высокого уровня доверия все полученные сообщения открываются и прочитываются, и, в связи с простотой использования смартфонов, число случайно набранных номеров или переходов по ссылкам подвергает пользователей риску. В сочетании со снижающейся стоимостью рассылки SMS спама (через безлимитные тарифы) и различными способами выставления счетов, это привело к тому, что злоупотребления мобильными сообщениями становятся все более изощренными и продолжают расти. Ситуацию усугубляет еще то, что каналы передачи SMS-сообщений менее защищены от нежелательных сообщений по сравнению с системами передачи электронных писем [82, 86].

Обычно злоумышленники, осуществляющие SMS атаки, используют технологии злоупотребления мобильными сигналами, чтобы получить доступ к сотовой сети оператора. Ниже приведен список наиболее популярных их них [75-86]:

- SMS spoofing: отправление сообщений злоумышленником от личности жертвы. Злоумышленник отправляет сообщения бесплатно, пока жертва платит за мошеннический трафик. Данный сценарий может быть осуществлен с использованием эмулятора мобильного центра коммутации в случае, если жертва находится в роуминге. Эмулятор посылает сообщения оператору жертвы, делая вид, что мобильный телефон жертвы находится в другой сети;

- подделка SMS: получение несанкционированного доступа к сети оператора мобильной связи, путем подделки адресов вызываемого и вызывающего абонента в подсистеме правления соединением (SCCP). Это позволяет злоумышленнику отправлять бесплатные сообщения в мобильной сети жертвы, делая вид, что сообщения пришли из другой сети. Как правило, это снижает пропускную способность сотовой сети. В данном случае жертвой является сотовый оператор.

- SMS flooding: несанкционированное отправление большого количества сообщений одному или нескольким пользователям, которое может вызвать отказ в обслуживании в ядре сотовой сети и радиодоступа сети.

Ассоциация GSM так описывает SMS-Flood: «Высокая скорость или большое число сообщений, отправляемых одному или нескольким адресатам, независимо от правомерности, цели или содержания сообщений. SMS-Flood обычно обнаруживается путем сравнения скорости или числа сообщений в выбранном потоке сообщений с заранее определенной средней или ожидаемой нагрузкой. Если количество или скорость сообщений превышает заранее установленную скорость без видимых на то причин (например, фестиваль, общественное мероприятие, государственный праздник), то это может быть расценено, как флуд. SMS-Flood часто встречается вместе с другими сценариями SMS мошенничества. Например, вредоносные SMS атаки на сеть могут генерировать SMS-Flood, SMS спам часто вложен в сообщения SMS Flood, и большое количество мошеннических сообщений также может рассматриваться как SMS-Flood.».

Атака типа «SMS-Flood», которая реализуется с использованием программы SMS-Flooder, представляет наибольшую опасность. Сервисы сотового оператора (голосовые и текстовые) могут выйти из строя под воздействием атаки, реализуемой с помощью персонального компьютера, генерирующего тысячи текстовых сообщений для данной сети (или нескольких сетей), перегружая каналы управления, используемые для установления соединений с устройствами в сети. Данная атака блокирует отправку текстовых сообщений и осуществление голосовых звонков в течение длительного периода времени (до тех пор, пока сообщения будут отправляться). Всего лишь 900 сообщений в час могут вызвать перебои в работе. Это очень небольшое количество текстовых сообщений, особенно в случае использования ботов (программные приложения, чаще используемые для автоматизированных атак на компьютерные сети), для проведения атаки. Боты могут распространиться на тысячи беспроводных устройств, и использоваться для генерации текстовых сообщений одновременно с этих устройств. Данная атака может привести к разрушительным последствиям, особенно в сочетании с другими видами атак [81, 84].

Реализуются атаки с использованием SMS-шлюзов, которые позволяют отправлять и получать сообщения без использования мобильного телефона и могут быть бесплатными для отправителя, однако зачастую существуют ограничения по числу отправляемых сообщений с одного компьютера в сутки [87].

Также SMS-flood может реализовываться с помощью мобильных ботнетов, которые отличаются от стандартных ботнетов тем, что функционируют в рамках мобильной сети с использованием мобильных устройств. Процесс заражения и распространения мобильного ботнета аналогичен таким процессам в ботнетах, создаваемых на базе персональных компьютеров [80, 86].

Алгоритм внедрения и работы программы SMS-Flooder весьма схож с подобным алгоритмом программы IM-Flooder, за исключением того, что коммуникации злоумышленника с зараженным устройством могут производится с помощью службы коротких сообщений SMS [83].