waqur: (Default)
[personal profile] waqur
ArsTechnica пишет об интересном случае маскировки C&C (command and control) сервера вредоносного ПО (такого как вирусы-вымогатели). Обычно для таких вещей хакеры используют чужие взломанные серверы, и в конечном итоге попадаются, но в этот раз всё интереснее.

Сервер подключён к несимметричному спутниковому интернету (дешёвая односторонняя связь, только downlink) и прослушивает одновременно все частоты диапазона KuBand с помощью PCI-E платы со специальными драйверами для Linux. Такой себе односторонний promiscuous mode на спутнике. Раньше это называлось "спутниковая рыбалка". Провайдер спутникового интернета отображает на этот линк все IP-адреса из выделенного ему диапазона (и чтоб было совсем дёшево, не применяет VPN). Клиентская часть вредоноса шлёт зашифрованный пакет с полезной нагрузкой, предназначенный C&C серверу, на случайный IP-адрес из диапазона, и, насколько я понимаю, на случайный UDP-порт. Далее пакет (например содержащий приватную часть RSA-ключа экземпляра вируса-шифровальщика, зашифрованную публичным RSA-ключом C&C-сервера) вылавливается C&C-сервером из общего потока в порядке рыбалки. Обратная связь не требуется.

https://arstechnica.com/security/2015/09/how-highly-advanced-hackers-abused-satellites-to-stay-under-the-radar/

Где физически находится C&C-сервер в пределах покрытия спутника (круга радиусом 1000 километров) — правоохранители не могут выяснить до сих пор. Очевидно, не нужно иметь назначенный IP-адрес из этого диапазона (или даже быть клиентом оператора спутникового интернета), чтобы исполнять такие вещи.

July 2017

S M T W T F S
      1
2345 678
9101112131415
16171819202122
23242526272829
3031     

Автор стиля

Развернуть

No cut tags
Page generated 2017-07-22 12:44 pm
Powered by Dreamwidth Studios