No, no es una referencia sexual, el titulo en realidad hace referencia a una costumbre que estan adoptando ahora los administradores de botnets, para "investigar" a los investigadores valga la redundancia.
Al investigar una pieza de malware relacionados con a la red de robots Zeus, un grupo de investigadores en The Last Line of Defense obtuvo el acceso a un servidor remoto utilizado para auxiliar al control del ataque. Este ataque en particular fue el envío de grandes cantidades de correo no deseado durante el mes de octubre, específicamente a los propietarios de negocios que presentan sus impuestos trimestrales. Conocido como el malware EFTPS, el spam incluye un enlace que envía a las víctimas a un sitio que tiene cargado el troyano Zeus en sus máquinas y luego las envía al sitio real del Departamento del Tesoro de EE.UU: que se encarga de estos pagos.
Pero la parte interesante fue lo que los investigadores encontraron al acceder al servidor back-end: una consola de administración falsa. Muchas, por no decir la mayoría, de las campañas de malware a gran escala ya tienen algún tipo de interfaz de administración en un servidor remoto que permite a los atacantes ingresar y acceder a las estadísticas sobre las infecciones, la distribución geográfica de las computadoras comprometidas y otras métricas. Y los investigadores han podido acceder a estas consolas en varias ocasiones, extrayendo la información importante para saber más sobre los atacantes que esta por detrás del malware y el modo de operar del ataque.
Pero en este caso, aparentemente los atacantes previeron esto y configuraron una interfaz de entrada falsa, con un nombre de usuario y una contraseña débil y una vulnerabilidad simple de inyección SQL. La consola claramente tiene la intención de atraer a los investigadores, y tal vez a otros atacantes, y así permitir al grupo por detrás de EFTPS observar sus movimientos y métodos.
"La interfaz de administración actúa como " honeypot para hackers" que registra la información detallada acerca de quienes intentaron acceder a la consola de administración, así como que trataron de introducirse en él. El sistema de entrada falsos convenientemente acepta fácilmente credenciales predeterminadas y cadenas comunes de inyección SQL . Después de que el investigador / hacker es 'autenticado´, se muestran de forma aleatoria estadísticas de la explotación", dijeron los investigadores en una entrada de blog.
La consola de administración también tiene una característica que permite a los usuarios remotos subir nuevos "robots", una táctica que, evidentemente está diseñada para atraer a otros atacantes para que intente comprometer el servidor para que el equipo EFTPS puede obtener una lectura de lo que están haciendo.
Los investigadores legítimos de seguridad han estado usando los sistemas honeypot desde hace años y se han convertido en una herramienta clave para la recopilación de información sobre nuevas vulnerabilidades, técnicas de ataque y la investigación de redes de robots. El ejemplo más destacado es el Honeynet Project, una red de voluntarios de todo el mundo que mantienen complejos honeypots y publican una gran cantidad de investigaciones sobre lo que recolectan y observan.
Comentarios: Bueno en realidad es una practica que se esta globalizando ya que al igual o tal vez mejor que los investigadores, la comunidad del crimen organizado informatico, esta mejor y mas organizadamente comunicada unos con otros por lo que las novedades para "hacer trampa" se difunden mucho mas rápido que las contramedidas que se puedan tomar.-
Links:
https://honeynet.org/papers/KYT_qebek
http://www.honeynet.org/
http://project.honeynet.org/
Spanish Honeynet Project ---> http://honeynet.org.es/ (esta en inglés!!!!) WTF?
No hay comentarios:
Publicar un comentario