Jak ciężko jest analizować sieć, przez którą przesyłane są setki tysięcy pakietów na sekundę w kierunku komunikacji sieci botnet wiedzą wszyscy bardziej zaangażowani administratorzy sieci. W gąszczu chaosu komunikacyjnego odnaleźć te wyjątkowe dane, które nie dość, że nie wiemy jak wyglądają to jeszcze mogą być skrzętnie ukryte. Już migracja cyberprzestępców w stronę udawania ruchu WWW znacznie utrudniła analizę ruchu sieciowego pod kątem złowieszczej komunikacji. WWW stało się najpopularniejszym medium i krok ten był bardzo sprytnym posunięciem. Jak się okazuje można było pójść o krok dalej i nie mam na myśli szyfrowanej komunikacji P2P bo taka już jest znana i wykorzystywana była choćby w botnecie Storm.
Badacze z firmy FireEye odkryli bardzo ciekawą próbkę komunikującą się za pomocą obrazka GIF. Co ciekawe pomijając początek nagłówka graficznego pliku wewnątrz przesyłanego pliku znajdują się zakodowane informacje na temat dalszych poczynań. Aby było jeszcze weselej komunikacja wykorzystuje zmienne sesyjne zawarte w Cookie PHPSESSID czyli serwer rozpoznaje użytkowników zupełnie jak użytkowników na przykład portalu społecznościowego ;] Jedyną zależnością, która rzuca się od razu w oczy jest fakt, iż bot pobiera co 182 sekundy obrazek GIF z tego samego adresu. Sam bot nazwany został Cimbot i zajmuje się w głównej mierze wysyłaniem wiadomości typu spam :] Po szczegóły sposobu komunikacji oraz deszyfracji obrazka odsyłam do tekstu firmy FireEye. Jak widać obie strony walczą zawzięcie starając się ukryć lub odkryć w zależności od celu jaki im przyświeca. Na pewno pójście w taką stronę będzie kolejnym utrudnieniem podczas poszukiwań komunikacji złośliwego oprogramowania w pakietach komunikacji sieciowej…
4 komentarze do
1 kwietnia, 2009 o godzinie 09:18
a gdzie źródło informacji?
1 kwietnia, 2009 o godzinie 11:02
a mi to wszystko pachnie 1 kwietnia.. ;)
1 kwietnia, 2009 o godzinie 11:06
hm.. chociaz moze niezbyt doglebnie poczytalem.. zrozumialem, ze plik gif jest execem zarazajacym maszyne, co oczywiscie nie jest prawda.
ciekawe workaroundy wymyslaja botmasterzy :) kiedys wystarczyl zwykly spybocik upakowany upxem i nie trzeba bylo sie martwic o wykrycie, a dzis? hehe ;)
6 kwietnia, 2009 o godzinie 17:27
Źródło jest przecież w tresci wiadomości:
„FireEye odkryli”…