Новые роли бот-сетей: незаметный подбор паролей методом перебора

18 ноябрь, 2009 - 03:42Юрий Кученко

 Исполнения каких ролей можно ожидать от бот-сетей в дальнейшем? Буквально из суеверия (не накликать бы беды!) мы удержались, чтобы не упомянуть в материалах нашей Темы Недели (KO №41) о ряде потенциальных новых угроз со стороны бот-сетей. Но на днях выяснилось, что один из этих гипотетических сценариев уже вступил в стадию реализации. Идея имеет прямое отношение к теоретической возможности проведения атак, относящихся к классу «распределенного bruteforce».

Подтвердилось, что с некоторых пор бот-сетям нашли еще одну «работу» – методом перебора подбирать пароль для SSH. Сама атака такого рода не нова, и ведись она с одного компьютера (или с пары-тройки) – обнаружить и отсечь злоумышленника несложно. Но когда в дело вступает коллективный «разум» распределенной сети, противостоять ему стандартными локальными средствами защиты становится практически невозможно, ведь в подборе участвуют несколько тысяч машин.

На то, что этот сценарий реален, указывают и эти  наблюдения. Заметим, что трафик в отношении атакуемого endpoint в описываемом случае не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования системы по блокированию атак.

Противостоять конкретно этой угрозе достаточно несложно – если SSHD действительно нужен для работы, можно, например, жестко ограничить перечень доверенных сетей, из которых будет обслуживаться доступ.

Наверняка профессиональный администратор найдет и еще пяток-другой прочих вариантов конфигурирования, препятствующих злонамеренной активности.
Однако, проявив немного фантазии несложно представить, что имея свою бот-сеть, злоумышленнику, например, не придется писать хитроумные эксплойты и утруждать себя фишингом для среднестатистического владельца «серого» iPhone (даже в случае смены после «анлока»/«джеилбрейка» пароля по умолчанию для входа через SSH). Разумеется, этому должны сопутствовать определенные обстоятельства, однако с учетом внимания, уделяемого злоумышленниками в последнее время мобильным устройствам в общем и iPhone в частности (информация, датированная концом марта от Александра , как мне кажется, также несколько устарела), такой сценарий уже не выглядит столь невероятным.