Download_Link
New member
Все онлайн-бизнесы нуждаются в стабильной и надёжной инфраструктуре. Самые продвинутые рекламные кампании, стратегии выхода на рынок и удержания клиентов теряют смысл, если сайт магазина систематически недоступен, а приём платежей работает через раз. Всё это справедливо и для киберпреступного бизнеса. В этом посте вы узнаете, как устроена хакерская инфраструктура и какими способами обеспечивается бесперебойная работа криминальных сервисов.
У каждой кибергруппировки свой специфический набор требований к сетевой инфраструктуре. Кому-то нужны временные серверы для подбора паролей, сетевого сканирования или рассылки фишинговых писем, другим требуется «пуленепробиваемый» хостинг, скрытый за цепочкой обратных прокси.
Однако всё разнообразие сводится к нескольким типовым сценариям:
Рассмотрим эти компоненты подробнее и начнём с услуг специального хостинга.
Пуленепробиваемый (bulletproof) хостинг
Любая нелегальная деятельность рано или поздно приводит к тому, что связанные с ней ресурсы становятся объектом внимания правоохранительных органов. И тогда IP-адреса этих ресурсов блокируют, серверы изымают, а домены — разделегируют. Такая ситуация приводит к срыву кибератак и необходимости затрат на организацию новой инфраструктуры. Чтобы избежать такой ситуации, нелегальные структуры прибегают к услугам сервисов, которые обладают иммунитетом к запросам полиции.
Например, законодательство Белиза и Сейшельских Островов позволяет компаниям, предоставляющим услуги такого хостинга, игнорировать все запросы правоохранительных органов, относящиеся к размещаемым на их мощностях ресурсам. В результате многие пуленепробиваемые хостинги размещаются именно там.
Другой пример — размещение криминального хостинга в частном доме. Именно такой нелегальный дата-центр, в котором находилось более 100 серверов, недавно обнаружила и ликвидировала полиция Украины.
Сервисы fast-flux
Fast-flux — вполне легальная технология, которая используется для обеспечения повышенной доступности услуг и балансировки нагрузки с помощью постоянного переключения разрешения доменного имени на пул IP-адресов. Преступникам же такой подход позволяет добиться повышенной устойчивости к взлому и перехватам, позволяя скрыть местоположение своего сервера. Пул IP-адресов часто используется для организации цепочки обратных прокси-серверов и может обеспечиваться несколькими ресурсами: арендованными облачными VPS, узлами бот-сети или скомпрометированными машинами.
Схема работы fast-flux в качестве сервиса промежуточного уровня.
Суть метода fast-flux заключается в использовании коротких TTL (time-to-live) для A-записей в DNS. Это предотвращает кэширование доменного имени на промежуточных DNS-серверах и заставляет их всегда запрашивать разрешение от объявленных серверов системы доменных имён (DNS). Малые значения TTL позволяют злоумышленникам c высокой частотой направлять домен на IP-адреса в составе выделенного пула и обеспечивать доступность сервиса, даже если какие-то из адресов будут скомпрометированы или забанены провайдером.
Характерные для fast-flux DNS-записи
Значения TTL, показанные красным цветом, установлены с необычайно малым количеством повторных попыток и минимальным временем TTL (в секундах). При нормальных обстоятельствах это создаст дополнительную нагрузку на DNS-сервер, однако в случае с fast-flux целью является подавление механизма кэширования, чтобы клиенту выдавался актуальный IP-адрес, который в настоящее время предоставляется инфраструктурой «быстрого потока».
Услуги fast-flux обычно стоят дороже, чем пуленепробиваемый хостинг, поскольку их оператору приходится поддерживать пул IP-адресов для обеспечения инфраструктуры «быстрого потока», а это требует дополнительных затрат.
Стоимость услуг fast-flux составляет 100 долларов США за два домена в месяц, в то время как стоимость ежемесячной аренды bulletproof-сервера — 10 долларов США
Защита от DDoS-атак
Киберпреступные группировки конкурируют между собой ничуть не меньше, чем легальные организации, а в качестве средства конкурентной борьбы устраивают атаки на отказ в обслуживание ресурсов конкурентов с помощью Layer4- и Layer7-методов. Именно поэтому многие bulletproof-сервисы предлагают хостинг с защитой от DDoS-атак или услугу защиты от DDoS, которой можно воспользоваться для своего ресурса.
Как правило, такие услуги предоставляются путём размещения перед защищаемым сервером специализированного ресурса, подобного WAF (Web Application Firewall, веб-брандмауэр).
VDS из скомпрометированных хостов
Скомпрометированные серверы часто используются для хостинга в течение одного или нескольких этапов их жизненного цикла криминальной монетизации.
Для захвата управления используются:
Учётные данные для доступа к захваченным серверам впоследствии продаются на подпольных интернет-магазинах:
Интернет-магазин учёток для доступа к скомпрометированным RDP-серверам
Для захвата более защищённых серверов могут потребоваться уязвимости нулевого дня, которые также предлагаются на киберфорумах.
Объявление о продаже уязвимости в OpenSMTPD, которая позволяет скомпрометировать серверы под FreeBSD, NetBSD, Debian, Fedora и Alpine Linux и использовать их для хостинга
Компрометация облачных хостингов
С точки зрения злоумышленника Google Cloud и Microsoft Azure — чрезвычайно доступные ресурсы, поскольку оба позволяют пользователям с подключённой к учётной записи банковской картой попробовать услуги бесплатно. Это привело к тому, что злоумышленники активно собирают данные аккаунтов Google с подключёнными банковскими картами, а затем используют их для запуска экземпляров выделенных серверов.
Для начинающих хакеров публикуются подробные туториалы:
Руководство по открытию хостинга Google Cloud из скомпрометированной учётной записи Google
Для тех, кто не хочет утруждать себя взломом аккаунтов, существуют магазины, предлагающие уже взломанные учётки Microsoft Azure и Google Cloud.
Socks, Proxy и туннели SSH
SOCKS и прокси-сервисы позволяют злоумышленникам скрываться, не привлекая к себе слишком много внимания и не вызывая обнаружения с помощью инструментов мониторинга сетевой безопасности.
Ввиду востребованности этого инструмента относительно легко найти ресурсы, предлагающие приобрести SOCKS прокси, причём оплатить покупку можно криптовалютой.
Прайс-лист на SOCKS прокси, которые можно оплатить с помощью Bitcoin и Ethereum
Ещё один способ сокрытия коммуникации — туннелирование в легитимные протоколы, например, в SSH:
Прайс-лист на SSH-туннели
p>
У каждой кибергруппировки свой специфический набор требований к сетевой инфраструктуре. Кому-то нужны временные серверы для подбора паролей, сетевого сканирования или рассылки фишинговых писем, другим требуется «пуленепробиваемый» хостинг, скрытый за цепочкой обратных прокси.
Однако всё разнообразие сводится к нескольким типовым сценариям:
- хостинг сайтов с нелегальным или сомнительным контентом,
- хостинг управляющей инфраструктуры,
- хостинг сервисных приложений и компонентов,
- хостинг анонимайзеров, прямых и обратных прокси,
- выделенные серверы для проведения сканирования и брутфорс-атак,
- платформы для фишинга и рассылки спама.
- услуги специального хостинга,
- хостинг на базе скомпрометированных серверов,
- услуги по обеспечению конфиденциальности и анонимности,
- DNS-сервисы.
Рассмотрим эти компоненты подробнее и начнём с услуг специального хостинга.
Пуленепробиваемый (bulletproof) хостинг
Любая нелегальная деятельность рано или поздно приводит к тому, что связанные с ней ресурсы становятся объектом внимания правоохранительных органов. И тогда IP-адреса этих ресурсов блокируют, серверы изымают, а домены — разделегируют. Такая ситуация приводит к срыву кибератак и необходимости затрат на организацию новой инфраструктуры. Чтобы избежать такой ситуации, нелегальные структуры прибегают к услугам сервисов, которые обладают иммунитетом к запросам полиции.
Например, законодательство Белиза и Сейшельских Островов позволяет компаниям, предоставляющим услуги такого хостинга, игнорировать все запросы правоохранительных органов, относящиеся к размещаемым на их мощностях ресурсам. В результате многие пуленепробиваемые хостинги размещаются именно там.
Другой пример — размещение криминального хостинга в частном доме. Именно такой нелегальный дата-центр, в котором находилось более 100 серверов, недавно обнаружила и ликвидировала полиция Украины.
Сервисы fast-flux
Fast-flux — вполне легальная технология, которая используется для обеспечения повышенной доступности услуг и балансировки нагрузки с помощью постоянного переключения разрешения доменного имени на пул IP-адресов. Преступникам же такой подход позволяет добиться повышенной устойчивости к взлому и перехватам, позволяя скрыть местоположение своего сервера. Пул IP-адресов часто используется для организации цепочки обратных прокси-серверов и может обеспечиваться несколькими ресурсами: арендованными облачными VPS, узлами бот-сети или скомпрометированными машинами.
Схема работы fast-flux в качестве сервиса промежуточного уровня.
Суть метода fast-flux заключается в использовании коротких TTL (time-to-live) для A-записей в DNS. Это предотвращает кэширование доменного имени на промежуточных DNS-серверах и заставляет их всегда запрашивать разрешение от объявленных серверов системы доменных имён (DNS). Малые значения TTL позволяют злоумышленникам c высокой частотой направлять домен на IP-адреса в составе выделенного пула и обеспечивать доступность сервиса, даже если какие-то из адресов будут скомпрометированы или забанены провайдером.
Характерные для fast-flux DNS-записи
Значения TTL, показанные красным цветом, установлены с необычайно малым количеством повторных попыток и минимальным временем TTL (в секундах). При нормальных обстоятельствах это создаст дополнительную нагрузку на DNS-сервер, однако в случае с fast-flux целью является подавление механизма кэширования, чтобы клиенту выдавался актуальный IP-адрес, который в настоящее время предоставляется инфраструктурой «быстрого потока».
Услуги fast-flux обычно стоят дороже, чем пуленепробиваемый хостинг, поскольку их оператору приходится поддерживать пул IP-адресов для обеспечения инфраструктуры «быстрого потока», а это требует дополнительных затрат.
Стоимость услуг fast-flux составляет 100 долларов США за два домена в месяц, в то время как стоимость ежемесячной аренды bulletproof-сервера — 10 долларов США
Защита от DDoS-атак
Киберпреступные группировки конкурируют между собой ничуть не меньше, чем легальные организации, а в качестве средства конкурентной борьбы устраивают атаки на отказ в обслуживание ресурсов конкурентов с помощью Layer4- и Layer7-методов. Именно поэтому многие bulletproof-сервисы предлагают хостинг с защитой от DDoS-атак или услугу защиты от DDoS, которой можно воспользоваться для своего ресурса.
Как правило, такие услуги предоставляются путём размещения перед защищаемым сервером специализированного ресурса, подобного WAF (Web Application Firewall, веб-брандмауэр).
VDS из скомпрометированных хостов
Скомпрометированные серверы часто используются для хостинга в течение одного или нескольких этапов их жизненного цикла криминальной монетизации.
Для захвата управления используются:
- уязвимости в серверном ПО,
- bruteforce-атаки,
- похищенные API-ключи,
- хищение учётных записей через подключенные сервера,
- фишинговые и мошеннические кампании.
Учётные данные для доступа к захваченным серверам впоследствии продаются на подпольных интернет-магазинах:
Интернет-магазин учёток для доступа к скомпрометированным RDP-серверам
Для захвата более защищённых серверов могут потребоваться уязвимости нулевого дня, которые также предлагаются на киберфорумах.
Объявление о продаже уязвимости в OpenSMTPD, которая позволяет скомпрометировать серверы под FreeBSD, NetBSD, Debian, Fedora и Alpine Linux и использовать их для хостинга
Компрометация облачных хостингов
С точки зрения злоумышленника Google Cloud и Microsoft Azure — чрезвычайно доступные ресурсы, поскольку оба позволяют пользователям с подключённой к учётной записи банковской картой попробовать услуги бесплатно. Это привело к тому, что злоумышленники активно собирают данные аккаунтов Google с подключёнными банковскими картами, а затем используют их для запуска экземпляров выделенных серверов.
Для начинающих хакеров публикуются подробные туториалы:
Руководство по открытию хостинга Google Cloud из скомпрометированной учётной записи Google
Для тех, кто не хочет утруждать себя взломом аккаунтов, существуют магазины, предлагающие уже взломанные учётки Microsoft Azure и Google Cloud.
Socks, Proxy и туннели SSH
SOCKS и прокси-сервисы позволяют злоумышленникам скрываться, не привлекая к себе слишком много внимания и не вызывая обнаружения с помощью инструментов мониторинга сетевой безопасности.
Ввиду востребованности этого инструмента относительно легко найти ресурсы, предлагающие приобрести SOCKS прокси, причём оплатить покупку можно криптовалютой.
Прайс-лист на SOCKS прокси, которые можно оплатить с помощью Bitcoin и Ethereum
Ещё один способ сокрытия коммуникации — туннелирование в легитимные протоколы, например, в SSH:
Прайс-лист на SSH-туннели
p>