VoIP - idealne narzędzie do sterowania botnetami?
- Antoni Steliński,
- 10.08.2011, godz. 10:36
Przestępcy kontrolujący sieci komputerów-zombie mogą sterować nimi za pośrednictwem... połączeń VoIP oraz sygnalizacji tonowej (DTMF - Dual Tone Multi Frequency). Dowiedli tego dwaj specjaliści, biorący udział w konferencji Defcon.
Zobacz też:
Korzystanie z VoIP i DTMF ma dla przestępców dodatkową, niezmiernie istotną zaletę - skoro operator botnetu nie potrzebuje do zarządzania nim klasycznego serwera C&C (command and control), to zlikwidowanie takiej sieci zombiePC jest niezmiernie trudne (ponieważ standardową metodą zwalczania botnetów jest właśnie odcięcie zarażonych komputerów od C&C).
Z analiz specjalistów z Security Art wynika, że przestępcy mogą sterować swoim botnetem bez konieczności korzystania z Internetu - wszystkie polecenia mogą być przekazywane za pomocą komend tonowych i VoIP. Co więcej - korzystając z tego rozwiązania można bez problemu penetrować firmowe firewalle i skutecznie ukrywać złośliwy ruch przed standardowymi narzędziami do monitorowania danych (w tym również systemami DLP - Data Loss Prevention).
Oczywiście, takie rozwiązanie ma również pewne wady - okazuje się, że za pomocą VoIP czy DTMF można przekazywać jedynie mniej skomplikowane komendy i to do ograniczonej liczby komputerów-zombie. Ale eksperymenty przeprowadzone przez Kotlera i Amita pokazują, że zwykle i tak wystarczy to do skutecznego zarządzania i sterowania botnetem.
Podczas prezentacji na Defcon specjaliści pokazali działanie takiego systemu. Open-source'owy PBX Asterisk pełnił funkcję standardowego korporacyjnego PBX. Kotler i Amit wdzwonili się do niego z zewnątrz ze smartfona BlackBerry - w tym samym czasie wewnętrzne połączenie z PBX nawiązała maszyna udająca zainfekowany botwormem komputer firmowy. Następnie nawiązano połączenie konferencyjne między "komputerem-zombie" a Blackberry - wykorzystano do tego program Moshi Moshi, który wyposażono jest m.in. w translator komend przekazywanych za pomocą sygnałów tonowych.
Oczywiście, całe przedsięwzięcie jest dość skomplikowane (wymaga m.in. takiego skonfigurowania PBX, by możliwe było przekazywanie sygnałów DTMF w ramach połączenie konferencyjnego) - ale specjaliści Security Art dowiedli, że jest to możliwe do przeprowadzenia. Co więcej - podkreślają oni, że ich celem było jedynie zaprezentowanie potencjalnego zagrożenia i że gdyby mieli na to więcej czasu, to z pewnością byliby w stanie znacząco udoskonalić cały proces.
Zalecanym przez nich zabezpieczeniem jest pełne odseparowanie połączeń VoIP od ruchu internetowego w firmie, a także stałe monitorowanie VoIP pod kątem niestandardowych wydarzeń (np. niespodziewanego inicjowania połączeń konferencyjnych, szczególnie po godzinach pracy). Co więcej - administratorzy powinni pomyśleć o stworzeniu zamkniętej listy adresów IP, z których możliwe jest inicjowanie telekonferencji.