Киберпреступники постоянно видоизменяют контент, загружаемый с управляемых ими сайтов, с тем, чтобы затруднить его эффективный анализ.

По данным Websense Security Labs, отслеживание вредоносного ПО становится все более затруднительным, поскольку на хакерских сайтах предоставляемый контент постоянно меняется в зависимости от IP-адреса и идентификатора приложения. Так, при проведении исследования подозрительных Flash-файлов в компании столкнулись с ситуацией, когда при переходе по присланной в электронном сообщении ссылке на .swf-файл пользователь автоматически перенаправлялся на подозрительный сайт. Однако, когда эксперты попробовали скачать тот же файл при помощи Wget, они столкнулись с сообщением об "Ошибке 403" (Отказ в доступе).

Сначала исследователи решили, что они либо попали в черный список хакеров, либо те проверяли все атрибуты в заголовке HTTP. Однако после настройки cookie выяснилось, что соединение все-таки происходит. Таким образом удалось понять, что хакеры в данном случае установили запрет на доступ приложения, имитирующего работу браузера (Wget).

В своем блоге эксперт из Websense Стефан Шенетт дал дальнейшие разъяснения: "Чтобы проверить наши выводы, я написал небольшой скрипт на PERL. Вначале я вписал в него все заголовки, которые сервер ожидает увидеть в случае, когда пользователь кликает по ссылке на .swf-файл. Я получил от сервера, содержащего спам, ответ ‘200 OK'. После этого, я захотел убедиться, что сервер просматривает HTTP REFERER, но с удивлением обнаружил, что ответ сервера от него не зависит. После непродолжительной игры с настройками я выяснил, что сервер анализирует данные идентификатора приложения. Если они соответствуют Wget, то он выдает ошибку".

www.crime-research.ru

Последняя модификация: 19 Сентябрь, 2008