Pułapki na złośliwe oprogramowanie

W ramach innowacyjnego projektu "pułapek miodowych" (honeypots), prowadzonego przez Web Application Security Consortium (WASC), z początkiem tego roku na nowo ma podjąć pracę sieć rozrzuconych po całym świecie sensorów tego projektu.

Prowadzony przez WASC Distributed Open Proxy Honeypot Project, który został wstępnie uruchomiony w styczniu 2007 r., po dość znaczącym ograniczeniu swoich operacji w grudniu ubiegłego roku, ma ponownie, z początkiem bieżącego roku, włączyć swój zestaw sensorów monitorujących ataki.

Po jedenastu miesiącach zbierania danych, działanie sieci projektu częściowo zawieszono na okres miesiąca, aby dać projektantom więcej czasu na sprawdzenie rezultatów i zaplanowanie działań na kolejny rok.

Poza zmianami w taktyce śledzenia i zwabiania dystrybutorów kodów złośliwych (malware), projektanci planują na rok 2008 dodanie nowych pułapek do istniejącej sieci, której elementy już teraz zlokalizowane są w Europie, Rosji, Ameryce Południowej i Stanach Zjednoczonych.

Odmiennie niż tradycyjne aplikacje pułapek pracujące na poziomie systemu operacyjnego lub oparte na SMTP - systemy zaprojektowane do zbierania indywidualnych próbek malware w celu późniejszej analizy przez ośrodki badawcze dostawców oprogramowania antywirusowego - projekt WASC wykorzystuje sieć czternastu specjalnie skonfigurowanych serwerów open proxy (proxypots) do monitorowania ruchu pod kątem nielegalnej działalności wykonywanej przez botnety po dostarczycieli adware.

Tradycyjne pułapki sprawdziły się jako użyteczne narzędzie do śledzenia rozprzestrzeniania się wirusów komputerowych i pozwalające firmom antywirusowym na tworzenie sygnatur niezbędnych dla ochrony przed ich działaniami. Natomiast celem projektu jest zapewnienie pewnej "inteligencji czasu rzeczywistego" niezbędnej do ochrony przed szybkozmiennymi, dostosowującymi się do okoliczności zagrożeniami.

Udając niezabezpieczony, otwarty serwer proxy w internecie, i tym samym reklamując się jako dobry kandydat na anonimowy kanał, jakich napastnicy poszukują do przeprowadzania swoich akcji, a nie tylko niechroniony komputer, serwery te pozwalają na gromadzenie nowych informacji o metodach cyberprzestępców. Pomyślne wyniki początkowej działalności systemu w zakresie identyfikacji ataków i możliwości testowania sposobów radzenia sobie z możliwymi atakami kodów złośliwych, dają nadzieję na jeszcze większe osiągnięcia w roku 2008.

Wśród ulepszeń sytemu - zbudowanego w oparciu aplikacyjną zaporę ogniową open source ModSecurity - są bardziej efektywne sposoby klasyfikowania ataków, korelowania anomalii i stosowania metod śledczych do wyznaczania trendów ich rozwoju w czasie.

Model "proxypot" pozwala na obserwowanie źródłowych adresów IP, używanych przez napastników wykorzystujących sensory tej sieci, oraz natury zagrożeń i celów ataków.

I tak np. z 8,9 miliona podejrzanych transakcji zarejestrowanych przez serwery projektu w październiku ub.r., 2,6 miliona zleceń związanych było z oszustwem kliknięcia na linku reklamowym, co jest wiodącym typem zagrożenia obserwowanym w logach zapór ogniowych.

Dalsze sprawdzanie wyników przez WASC powinno umożliwić zidentyfikowanie miejsc internetowych "pompowanych" przez taki automatyczny ruch i poinformowanie wszystkich firm wplątanych w taką nielegalną działalność.

Chociaż projekt WASC może ostatecznie być używany do wygaszania niektórych źródeł malware lub blokowania samych zagrożeń, na dzisiaj celem jest stworzenie systemu wczesnego ostrzegania, który ma wspomagać przemysł środków ochrony w zakresie przygotowywania adekwatnych reakcji na pojawiające się ataki.


TOP 200