Kamuflaż agresora i ... obrońcy

Najnowsze wirusy kamuflują się ostatnio pod nazwą przypominająca URL. Przykładem jest wirus “MyParty”, który pojawia się w pliku o nazwie łudząco przypominającej URL - www.myparty.yahoo.com (wykorzystano tu zbieżność przyrostka .com oznaczającego zarówno typ domeny, jak i wykonywalny program DOS).

Najnowsze wirusy kamuflują się ostatnio pod nazwą przypominająca URL. Przykładem jest wirus “MyParty”, który pojawia się w pliku o nazwie łudząco przypominającej URL - www.myparty.yahoo.com (wykorzystano tu zbieżność przyrostka .com oznaczającego zarówno typ domeny, jak i wykonywalny program DOS).

Przesyłka zawierająca tego wirusa zachęcała odbiorców do obejrzenia zdjęcia znajdującego się rzekomo pod tym adresem. W rzeczywistości był to jednak plik wykonywalny, który po „odpaleniu” infekował maszynę i rozsyłał się sam pod adresy wyszukane w książce adresowej Microsoft Outlook.

Zobacz również:

Ten nowy sposób kamuflowania wirusów może mieć dużo szersze konsekwencje - podważa zaufanie do zakładek stron webowych, jakie pojawiają się w poczcie elektronicznej, zwłaszcza serwisów foto, takich jak Yahoo i Shutterfly.

Na szczęście nie tylko hakerzy mogą posługiwać się kamuflażem. Kamuflaż i dezinformacja mogą również być pomocne w ochronie sieci. Firma ForeScout Technologies wprowadza na rynek produkt o nazwie ActiveScout, który łączy w sobie funkcje systemu IDS (Intrusion Detection System) z możliwością zakładania pułapek na hakerów i robaki typu Nimda czy CodeRed.

Pomysł pułapek sieciowych polega na „karmieniu” hakera fałszywą informacją o sieci za pośrednictwem serwera-przynęty i następnie zidentyfikowanie jego adresu oraz rejestrowanie jego poczynań, co może być materiałem dowodowym w sprawie karnej. Pomysł ten jest relatywnie świeży, ale podobne rozwiązania pojawiły się też w ofercie niektórych firm (ManTrap firmy Recouse Technologies). Produkt izraelskiej firmy ForeScout „oszukuje” jednak hakerów w sposób szczególny.

ActiveScout - IDS oparty na sygnaturach ataków - jest umiejscawiany poza zaporą ogniową sieci przedsiębiorstwa w celu identyfikowania potencjalnych ataków i blokowania ich. Wykonuje on także wykrywanie znamion ataków wewnątrz sieci przez monitorowanie ruchu. Gdy haker (lub odpowiednio spreparowany robak) rozpoczyna skanowanie w celu uzyskania informacji o sieci, oparte na Linuksie urządzenie (takim jest ActiveScout) udostępnia mu fałszywe informacje, tworząc wirtualny adres IP, i zamieszcza unikatowo etykietowaną informację w strumieniu danych, zwracanym hakerowi wykonującemu skanowanie w poszukiwaniu otwartych portów lub innych informacji. Pomysł opiera się na tym, iż atakujący często zaczynają taki rekonesans spod wielu adresów IP, w większości fałszywych (trik mający na celu zmylenie IDS). Tak więc, jeżeli atakujący ponowi po przerwie próbę, ActiveScout rozpozna prawdziwe źródło ataku poprzez te właśnie etykietowane informacje. Cena ActiveScout - od 9000 USD.