Разрешите сайту отправлять вам актуальную информацию.

10:55
Москва
5 ноября ‘24, Вторник

VoIP оказался хорошей платформой для управления ботнетами

Опубликовано
Текст:
Понравилось?
Поделитесь с друзьями!

На конференции по вопросам информационной безопасности Defcon была продемонстрирована возможность управления ботнетами при помощи VoIP-технологий. Это означает, что хозяин компьютерной зомби-сети может контролировать ее при помощи обычного телефона, сохраняя при этом свою анонимность, утверждают специалисты компании Security Art Итцик Котлер (Itzik Kotler) и Итфах Ян Амит (Iftach Ian Amit).

Использование обычных телефонов лишает борцов с ботнетами их единственного действенного инструмента, а именно — отключения домена, в котором находится управляющий сервер. Потому что такого домена фактически не существует, ведь хозяин зомби-сети может быть вообще не подключен к интернету, ему достаточно соединиться, например, с зараженной корпоративной сетью через VoIP, чтобы отдавать необходимые команды. И даже если при этом сеть изолируется, у нее еще остается связь с внешним миром через голосовую линию.

Докладчики отметили, что принципы VoIP-технологий таковы, что трафик легко проникает через корпоративные сетевые экраны, неся с собой не только голосовую информацию, но и все необходимое для несанкционированного подключения к источникам данных. Контролирующие программные средства пока не могут осуществлять фильтрацию потоковых аудиоданных и блокировать внедренную в них метаинформацию. Единственным недостатком использования VoIP в качестве управляющего канала являются строгие ограничения в количестве одновременно управляемых зомби-машин, а также скорость, с которой похищенные данные пересылаются по корпоративной сети. Эти ограничения накладываются самой архитектурой телефонной системы. Тем не менее, по уверениям Котлера и Амита, этого вполне достаточно, чтобы отдавать управляющие команды сети.

На демонстрации инженеры использовали офисную АТС под управлением открытой платформы Asterisk. Виртуальная машина, представляющая зомби-компьютер, осуществила звонок по протоколу TCP/IP через офисную АТС и включилась в сеанс конференц-связи. В качестве управляющего телефона использовался смартфон BlackBerry, который при отключенном интернете по обычной телефонной линии включился в тот же сеанс конференц-связи. После этого управляющий телефон и управляемая зомби-машина осуществили соединение при помощи открытой программы Moshi Moshi. Эта программа включает в себя конвертер, позволяющий использовать DTMF-тоны в качестве средства ввода, а в качестве вывода использовались встроенные в эту программу инструменты перевода текста в речь. В результате посредством одного лишь голосового трафика докладчикам удалось подключиться к корпоративной голосовой почте и получать все необходимые данные в любой момент.

Самым сложным во всем этом процессе является правильное конфигурирование офисной АТС, чтобы она могла надлежащим образом воспринимать DTMF-команды. Однако при желании злоумышленник все-таки может написать целый DTMF-язык для расширенного управления зараженными сетями. На данный момент эта технология представляет собой всего лишь принципиальную модель, однако в случае необходимости грамотный специалист может существенно расширить возможности данной технологии для несанкционированного проникновения в VoIP-системы и анонимного сбора данных. Для предотвращения такой возможности эксперты Котлер и Амит рекомендуют физически отключать корпоративные компьютерные сети от VoIP и осуществлять более пристальный мониторинг голосового трафика. Еще одной возможностью защиты является допуск в голосовую сеть только определенных номеров телефонов.

Объем долгов россиян на взыскании у приставов вырос на треть
Реклама