Слежение за пустотой, или атаки на несуществующие ресурсы
В последнее время ходит немало разговоров о том, что социальные сети и мессенджеры заглядывают в личную переписку и используют ее в своих целях. После очередного вброса в сторону новомодного нынче Телеграмма, появились мысли провести очередное исследование, посвященное указанной тематике.
В конце сентября мы с коллегой участвовали в съемках сюжета для «Первого канала» с рассказом о фишинговых схемах интернет-мошенников. Чтобы показать журналистам некоторые детали такой «рыбалки», был зарегистрирован двойник «Одноклассники.ru» по адресу m.odnoklassnliki.ru. Копия мобильной версии социальной сети с лишней буквой «l», созданная за пару минут с помощью Social-Engineer Toolkit (SET), не была добавлена ни в какие поисковые системы и предназначалась для практической демонстрации перехвата данных.
После съемок фейк убрали, но еще в ходе подготовки нас заинтересовала статистика посещений страницы: IP-адреса гостей принадлежали mail.ru, Microsoft, LeaseWeb, Selectel Ltd. Мы решили сделать еще один пустой сайт на другом домене — milcrosoft.com, чтобы систематизировать проявленный интерес к никому не известному «фишинговому» сайту со стороны различных систем мониторинга, а затем посмотреть, кто появится в логах, если ссылку отправить персональным сообщением на домен уровнем выше — office365.milcrosoft.com.
Первоначальная конфигурация
На странице отсутствовал какой-либо текст и мультимедийные данные, а настройки nginx подразумевали выдачу пустой страницы при посещении ресурса:
server {
listen 80;
server_name milcrosoft.com www.milcrosoft.com;if ($host!~ ^(milcrosoft.com|www.milcrosoft.com)$) {
return 444;
}if ($request_method!~ ^(GET)$) {
return 444;
}access_log /var/log/access.log main;
error_log /var/log/error.log;location / {
root /var/www/milcrosoft;
index index.php index.html index.htm;
}error_page 404 500 501 502 504 /error.html;
}
Идентичная конфигурация использовалась и для второго домена office365.milcrosoft.com.Часть первая — интернет-боты
Самым быстрым оказался китаец с адресом 110.75.105.9, принадлежащим Zhejiang Taobao Network Co., Ltd. Этот бот появился в первый же день работы сайта.
На следующий день на страницу зашли роботы поисковых систем Google, Yahoo, BING, Baidu с запросами GET / HTTP/1.1 и GET /robots.txt HTTP/1.1.
Среди компаний, занимающихся безопасностью, стоит отметить «Лабораторию Касперского», ее бот c IP 93.159.230.39, возможно, анализировал страницу для своей системы репутаций. Остальные антивирусные компании страницу не посещали. Похожую статистику, видимо, собирал и бот phishmongers.com (198.186.192.44), «конкурентные разведчики» с шпионом aiHitBot и создатели антифишинговой панели, компания Netcraft, отправившая на 14-й день жизни страницы запрос HEAD / HTTP/1.1.
Немалое любопытство проявили также «кроулеры» из DomainSONOCrawler, ходившие к нам по несколько раз в день под разными юзер-агентами, а также китайцы с crawl.baidu.com.
Стоит отметить южнокорейских посетителей из BORANET (211.36.137.129) с запросом GET /hardware/warr HTTP/1.1 (вероятно адресованным к microsoft.com/hardware/warranties), заходивших со смартфона SAMSUNG SM-G920L. Вообще, запросов с мобильных устройств было немало, больше всего с iPhone, и скорее всего они являлились результатами ошибок при наборе имени официального сайта MS.
Также удивили гости из CHINANET (115.195.117.24) с юзерагентом WIN98:)
Атаки на панель администратора
На третий день с адреса 91.210.145.15, расположенного в Желтых Водах под Днепропетровском, стали простукивать «админки». От сетевого имени ICTNET-UA-NET поступали следующие запросы:
GET /wp-login.php HTTP/1.1 (определение админ-панели WordPress)
GET /administrator/index.php HTTP/1.1 (определение панели Joomla!)
GET /admin.php HTTP/1.1 (определение панели администратора)
На следующий день подобные запросы были зафиксированы с адреса 193.201.227.78 (Украина), а затем с адреса 46.216.0.141 (Беларусь). Географическая принадлежность, разумеется, не играет никакой роли, VPS купить может кто угодно и где угодно.
С какой целью осуществляются подобные запросы? Так как мы не ставили перед собой цели создавать полнофункциональный ханепот, можем лишь предположить, что наибольшую угрозу они несут для только что созданных страниц на таких популярных движках, как WordPress или Joomla!… Если владелец не успел сменить пароль по умолчанию, ему могут незаметно подселить вредоносный код или использовать сайт для спама либо перехвата конфиденциальной информации.
Среди других посетителей тестовой страницы стоит отметить компанию Societe Francaise du Radiotelephone (93.20.177.34) с запросом GET /favicon.ico HTTP/1, многочисленные визиты www.best-seo-report.com с различных адресов и гостей из сети ТОR (IP 192.99.246.164) с именем tor-exit.ethanro.se и адресом в заголовке юзерагента www.pizza-tycoon.com.
В один из последних дней нашего эксперимента с бразильского адреса 201.93.81.118 вновь проверили доступ к панели администратора WordPress запросом GET /wp-login.php HTTP/1.1. Кроме того, с IP 119.82.24.111 было отправлено послание GET /? author=1 HTTP/1.0.
Часть вторая — чтение переписки
В дальнейшем мы проверили, насколько внимательно соцсети и популярные мессенджеры относятся к ссылкам в персональных сообщениях. Года два назад Miscosoft уже в этом уличили. Тогда два сотрудника немецкого интернет-издания обменялись в скайпе HTTPS-ссылками и через несколько часов в логах сервера обнаружили следы, указывающие на посещение с IP-адреса Microsoft. А этой осенью пользователи Reddit и вовсе обсуждали слухи, что Facebook научился показывать контекстную рекламу в зависимости от ключевых слов в голосовом общении. Один читатель уверял, что его FB стал показывать рекламу на испанском после того как он увлекся испанскими сериалами.
Исследовать шпионаж со стороны соцсетей за голосовым трафиком нам кажется пока преждевременным, поэтому мы ограничились тем, что разослали ссылку на нашу страницу внутри сообщений другим абонентам. Получатель сообщения не переходил по этому адресу, чтобы не вносить лишнюю энтропию.
Как выяснилось, боты Skype, Twitter, Facebook и ВКонтакте активно посещают страницу, адрес которой передается в частной переписке. Делает это и Telegram, однако если включить в этом мессенджере режим «Secret chat», то робот перестает ходить по переданной ссылке.