Artykuły dotyczące tematu: VoIP

dodany: 10.10.2012 | tagi: , , ,

Botnet mapuje cały Internet

0

W lutym zeszłego roku naukowcy z The Cooperative Association for Internet Data Analysis (w skr. CAIDA) rozpoczęli  Aktywne Pomiary Internetu (z ang. Active Internet Measurements, w skr. AIMS-4), które są częścią serii Analiz Statystycznych i Metrycznych Internetu (z ang. Internet Statistics and Metrics Analysis, w skr. ISMA). W ramach tych pomiarów, naukowcy z Uniwersytetu Kalifornijskiego w San Diego (UCSD) oraz Uniwersytetu Neapolitańskiego, monitorowali i ewaluowali aktywność botneta Sality, który przeszedł przez całą przestrzeń adresów IPv4 w poszukiwaniu punktów końcowych Voice-over-IP (w skr. VoIP), które mogły zostać uszkodzone.

Skanowanie trwało 12 dnu i wyróżniło się niezwykle ostrożnymi metodami, które zazwyczaj nie włączało żadnych alarmów. Naukowcy zarejestrowali działalność przy pomocy UCSD Network Telescope (jest to system pasywnego monitorowania ruchu, zbudowany na globalnie kierowanej, ale lekko eksploatowanej sieci /8)  znanego także jako „UCSD darknet”.

Uniwersytet zarezerwował cały blok /8 IP dla darknetu, co oznacza wszystkie adresy IP, w których tylko pierwszy bajt określa adres sieci, jak ma to miejsce w przypadku sieci 10.0.0.0. W przypadku darknetu, brak aktywności pochodzący z tych adresów oznacza, że każdy ruch w sieci zarejestrowany dla tej sieci musi pochodzić z zewnętrznych źródeł i w  czasie tych działań, darknet rejestruje systematycznie skanowanie całej przestrzeni adresowej.

Następnym krokiem naukowców było skorelowanie publicznie dostępnych danych o ruchu w sieci globalnej z wnioskiem, że nie tylko ich własna sieć, ale też reszta światowego Internetu była skanowana przez Sality.

Typ skanowania i fakt, że wyszło ono z kilku milionów adresów IP sugerują, że musi to być jeden z dużych botnetów. Naukowcy wykluczyli regionalnie rozproszone botnety, takie jak Conficker (znany również jako Downup czy Kido, który jest  groźnym robakiem, celującym w system operacyjny Microsoft Windows; robak używa znanych luk w zabezpieczeniach platformy systemowej i gromadzi dane osobowe, stosuje ataki słownikowe na hasła administracyjne oraz pobiera i instaluje dodatkowe złośliwe oprogramowanie). Po żmudnych badaniach naukowcy zlokalizowali kod odpowiedzialny za skanowanie w module, który został załadowany na Sality przez operatora botnetu.

Alberto Dainottti, jeden z naukowców zaangażowanych w badania, rozważa, że cały proces skanowania skierowanego na VoIP był prawdopodobnie próbą wykorzystania algorytmu brute force na serwerach SIP w celu tworzenia kont, które miały być używane do bezpłatnych połączeń, anonimowych połączeń, oszustw VoIP i tym podobnych.

Szczegółowe wyniki swojej „Analizy /0 Ostrożnego Skanowania Botneta” (z ang. Analysis of a /0 Stealth Scan from a Botnet” ) na Internet Measurement Conference 2012 w Bostonie w listopadzie.