habrahabr

Хакеры использовали сайт Google для отладки вредоносного софта

  • четверг, 4 сентября 2014 г. в 03:11:33
http://habrahabr.ru/post/235449/

image

Независимый исследователь информационной безопасности Брэндон Диксон опубликовал у себя в блоге материал, в котором рассказал об обнаруженных следах использования хакерами принадлежащего Google ресурса VirusTotal, для отладки своих вредоносных программ.

На протяжении нескольких лет Диксон с помощью различных методов (каких конкретно, он не указывает) собирал данные о поведении пользователей ресурса VirusTotal, с помощью которого можно осуществлять проверку различных файлов на предмет их безопасности. По словам исследователя, сервис, который обычные пользователи сети применяют для повышения своего уровня защищенности, послужил злоумышленникам средством для отладки софта.

Проект VirusTotal был основал в 2004 году в Испании и куплен Google в 2012 году — он объединяет больше трех десятков антивирусов и сканеров безопасности производства Symantec, Kaspersky Lab, F-Secure и других компаний. Исследователи безопасности и простые пользователи сети могут загружать на сайт файлы для их проверки на предмет вредоносности.

image

Брэндон Диксон

Диксон изучал поведение пользователей VirusTotal с помощью уникальных хэшей, которые присваиваются им при загрузке файлов на сайт. Хакеры загружали файлы на сайт до тех пор, пока антивирусы VirusTotal не сообщали о том, что не обнаружили ничего подозрительного. Диксону удалось обнаружить следы нескольких конкретных хакеров или групп киберпреступников. Более того, исследователю даже удалось определить будущие цели атаки злоумышленников.

Сделать это удалось благодаря тому, что при каждой загрузке файла на VirusTotal появляются метаданные, включающие название файла и время его создания и загрузки, а также хеш, созданный на основе IP-адреса и страны, из которой произошла загрузка. Google использует различные методы для того, чтобы усложнить выделение IP-адреса из хеша, но Диксону удалось по крайней мере определить хеши IP-адресов, с которых осуществлялись множественные загрузки файлов.

image

По клику картинка откроется в полном размере

Исследователь разработал алгоритм для обработки собранных данных. Как сообщает издание Wired, в результате ему удалось выявить паттерны и географические области загрузки двух группировок хакеров из Китая и Ирана. При этом, Диксон в некоторых случаях мог даже отслеживать развитие атак — сначала вредоносные файлы загружали для теста сами хакеры, а затем уже с других адресов жертвы нападения.

Диксон говорит, что собрал настолько много информации об активности на сайте злоумышленников, что настала пора поделиться ей с общественностью.