Взломанные веб-сайты часто используются злоумышленниками для доставки вредоносного контента или размещения фишинговых страниц, предназначенных для кражи частной информации от их жертв. К сожалению, большинство целевых веб-сайтов управляются пользователями с небольшим уровнем безопасности, которые часто не могут обнаружить угрозы такого рода или предоставить внешнюю профессиональную службу безопасности.
В этой статье мы проверяем способность веб-хостинга обнаруживать скомпрометированные веб-сайты и реагировать на жалобы пользователей. Мы также тестируем шесть специализированных сервисов, которые обеспечивают мониторинг безопасности веб-страниц за небольшую плату.
В течение 30 дней мы размещали собственные уязвимые веб-сайты у 22 провайдеров виртуального хостинга (таких как tophosting.in.ua), в том числе 12 самых популярных. Мы неоднократно запускали пять разных атак против каждого из них. Наши тесты включали заражение по типу бота, загрузку с диска, загрузку вредоносных файлов, SQL-инъекцию, похищающую номера кредитных карт, и набор для фишинга для известного американского банка. Кроме того, мы также генерировали трафик от, казалось бы, действительных жертв фишинговых и попутных загрузочных сайтов. Мы показываем, что большинство этих атак могли быть обнаружены бесплатными сетевыми или инструментами анализа файлов. Через 25 дней, если вредоносная активность не была обнаружена, мы начали подавать жалобы на злоупотребления поставщикам. Это позволило нам изучить реакцию провайдеров веб-хостинга на реальные и поддельные жалобы.
Общая картина, которую мы извлекли из нашего исследования, весьма тревожна. Подавляющее большинство провайдеров, или «дополнительных» служб мониторинга безопасности, не в состоянии обнаружить самые простые признаки вредоносной активности на размещенных веб-сайтах.
Владение и управление веб-сайтом стало довольно распространенным видом деятельности во многих частях мира, и миллионы веб-сайтов используются каждый день как для личного, так и для профессионального использования. Людям больше не нужно быть компьютерным «гуру», чтобы иметь возможность устанавливать и запускать веб-сайт: веб-браузер, кредитная карта с балансом в несколько долларов и некоторые базовые навыки работы с компьютером обычно достаточно, чтобы начать такую деятельность.
Общий доступ к хостингу обычно является наиболее экономичным вариантом. Он заключается в размещении веб-сайта на веб-сервере, на котором другие веб-сайты могут находиться и совместно использовать ресурсы компьютера. Благодаря своей низкой цене, виртуальный хостинг стал предпочтительным решением для размещения большинства персональных сайтов и сайтов малого бизнеса по всему миру.
Однако сайты с общим хостингом, являющиеся настолько распространенными, также имеют высокие шансы стать объектами веб-атак и становятся для преступников средством распространения вредоносных программ или фишинга. Кроме того, такими веб-сайтами часто управляют пользователи с небольшим или нулевым уровнем безопасности, которые вряд ли смогут обнаружить атаки или предоставить профессиональные услуги мониторинга безопасности.
Наша работа сосредоточена на услугах общего веб-хостинга и представляет исследование того, что делают поставщики виртуального хостинга, чтобы помочь своим клиентам определить, когда их сайты были скомпрометированы. Мы считаем, что это важное обязательство, учитывая тот факт, что клиенты виртуального хостинга наиболее уязвимы для веб-атак [9]. Более того, даже защищенный хостинг-клиент никогда не сможет полностью защитить и контролировать свою учетную запись без сотрудничества с провайдером. Фактически, в конфигурации с общим хостингом у пользователя мало прав на компьютере, и ему не разрешается запускать или устанавливать какие-либо приложения для мониторинга или IDS, а также настраивать веб-сервер, его брандмауэр или параметры безопасности. Таким образом, чтобы защитить свой веб-сайт, пользователь должен полностью полагаться на меры безопасности, применяемые хостинг-провайдером.
В нашем исследовании мы также проверили реакцию поставщиков на жалобы о злоупотреблениях и возможности обнаружения атак шести специализированных служб, обеспечивающих мониторинг безопасности веб-сайтов за небольшую плату. В недавнем опросе [4] Commtouch и организация StopBadware сообщили о результатах анкетирования, в котором 600 владельцам взломанных веб-сайтов были заданы несколько вопросов о атаках, направленных на их сайты. Из этого исследования выяснилось, что среди опрошенных пользователей 49% из них были уведомлены о компрометации с помощью предупреждения браузера, в то время как в меньшем количестве случаев они были уведомлены своим хостинг-провайдером (7%) или организацией безопасности (10). %). Кроме того, 14% пользователей, принявших участие в опросе, сообщили, что их хостинг-провайдер удалил вредоносный контент со своего веб-сайта после заражения. В итоге, только 12% клиентов были удовлетворены тем, как их хостинг-провайдер справился с ситуацией, в то время как 28% пользователей, принявших участие в опросе, рассматривали возможность перехода к новому провайдеру из-за этого опыта.
Вдохновленные отчетом StopBadware, мы решили систематически анализировать, в более широком масштабе и автоматически, как веб-хостинговые компании ведут себя в отношении обнаружения скомпрометированных веб-сайтов, как они реагируют в случае жалоб на злоупотребления и как они поступают информировать клиента о взломе его сайта.
Насколько нам известно, это первая работа, изучающая в мировом масштабе качество и надежность действий по мониторингу безопасности, выполняемых провайдерами веб-хостинга для обнаружения скомпрометированных веб-сайтов клиентов. К сожалению, общая картина, которую мы извлекли из наших результатов, весьма тревожна: подавляющее большинство провайдеров и дополнительных служб мониторинга безопасности не могут обнаружить самые простые признаки вредоносной активности на размещенных веб-сайтах. Важно отметить, что мы не хотим обвинять таких провайдеров в том, что они не защищают своих клиентов, поскольку эта услуга часто не является частью договора, за который платят пользователи. Тем не менее, мы полагаем, что в интересах провайдеров и широкой общественности внедрить простые механизмы обнаружения, чтобы быстро определить, когда веб-сайт был взломан и используется для совершения злонамеренных действий.
В нескольких работах изучались угрозы, которые затрагивают веб-сайты по всему миру, а также пользователей, посещающих зараженные страницы [15–17]. Исследования также были сосредоточены на том, как преступники используют поисковые системы для поиска своих жертв, отравляя результаты поиска по популярным запросам [7]. В других статьях изучалось, как используются подобные методы для поиска уязвимых веб-сайтов [12] и веб-серверов [8]. Исследователи также изучили, как преступники объединяют все эти действия, чтобы иметь возможность проводить атаки, в которых заражены десятки тысяч хостов [18]. Canali et al. [3] изучали поведение реальных злоумышленников в сети, устанавливая уязвимые веб-приложения в контролируемой среде.
Bau и соавт. [2] оценил текущие коммерческие инструменты для обнаружения уязвимостей в веб-приложениях. Такие инструменты в основном опираются на подходы черного ящика и не могут найти все возможные уязвимости.
Недавно провайдер веб-хостинга [5] объявил об улучшении своего предложения хостинга, добавив бесплатное автоматическое сканирование, исправление и восстановление уязвимостей веб-сайтов. Предполагается, что такой сервис работает в режиме «белого ящика» на стороне сети и сервера. Эта услуга связана с тем, что в нашей работе мы называем «дополнительными» службами безопасности. К сожалению, об этой услуге было объявлено, что наши эксперименты уже завершены, и поэтому было невозможно интегрировать ее в наши результаты.
Commtouch [4] опросил 600 скомпрометированных владельцев сайтов и, среди прочего, сообщил о процессе, с помощью которого владельцы сайтов узнали о компрометации. Тем не менее, это было сделано с помощью публично рекламируемого пула на обнаруженных скомпрометированных веб-сайтах и может быть поэтому предвзятым.
Наконец, некоторые прошлые работы были сосредоточены на изучении процесса удаления, используемого в случае фишинговых сайтов [10, 11]. Это связано с некоторыми выводами, но нацелено на изучение этого явления на уровне интернет-провайдера и хостинг-провайдера, а не на анализ ответов провайдеров один за другим и предоставление подробной информации о том, как они реагируют на уведомления о злоупотреблениях.
Насколько нам известно, этот документ является первой попыткой систематического изучения в мировом масштабе того, как провайдеры веб-хостинга действуют в отношении безопасности своих клиентов и своей собственной инфраструктуры, уделяя особое внимание обнаружению скомпрометированных учетных записей, а не наличие уязвимостей.
Использованные источники
[1] VirusTotal Free Online Virus, Malware and URL Scanner. virustotal.com/.
[2] J. Bau, E. Bursztein, D. Gupta, and J. Mitchell. State of the art: Automated black-box web application vulnerability testing. In Security and Privacy (SP), 2010 IEEE Symposium on, pages 332–345. IEEE, 2010.
[3] D. Canali and D. Balzarotti. Behind the scenes of online attacks: an analysis of exploitation behaviors on the web. In Proceedings of the 20th Annual Network and Distributed System Security Symposium, NDSS ’13, Feb. 2013.
[4] Commtouch and StopBadware. Compromised Websites An Owner’s Perspective. stopbadware.org/pdfs/compromised- websites-an-owners-perspective.pdf, February 2012.
[5] W. de Vries. Hosting provider antagonist automatically fixes vulnerabilities in customers’ websites. antagonist.nl/blog/2012/11/hostingprovider-antagonist-automatically-fixesvulnerabilities-in-customers-websites, November 2012.
[6] fyicenter.com. Credit card number generator test data generation. sqa.fyicenter.com/Online_Test_Tools/ Test_Credit_Card_Number_Generator.php, 2010.
[7] J. P. John, F. Yu, Y. Xie, A. Krishnamurthy, and M. Abadi. deseo: combating search-result poisoning. In Proceedings of the 20th USENIX conference on Security, SEC’11, pages 20–20, Berkeley, CA, USA, 2011. USENIX Association.
[8] J. P. John, F. Yu, Y. Xie, A. Krishnamurthy, and M. Abadi. Heat-seeking honeypots: design and experience. In Proceedings of the 20th international conference on World wide web, WWW ’11, pages 207–216, New York, NY, USA, 2011. ACM.
[9] Larry Ullman. Understand your hosting, five critical e-commerce security tips in five days. Peachpit Blog, 2011. peachpit.com/blogs/blog.aspx? uk=Understand-Your-Hosting-Five-Critical-E-Commerce-Security-Tips-inFive-Days.
[10] T. Moore and R. Clayton. Examining the impact of website take-down on phishing. In Proceedings of the anti-phishing working groups 2nd annual eCrime researchers summit, eCrime ’07, pages 1–13, New York, NY, USA, 2007. ACM.
[11] T. Moore and R. Clayton. The consequence of non-cooperation in the fight against phishing. In eCrime Researchers Summit, 2008, pages 1 –14, oct. 2008.
[12] T. Moore and R. Clayton. Financial cryptography and data security. chapter Evil Searching: Compromise and Recompromise of Internet Hosts for Phishing, pages 256–272. Springer-Verlag, Berlin, Heidelberg, 2009.
[13] Number 7. osCommerce ’categories.php’ Arbitrary File Upload Vulnerability, November 2010. securityfocus.com/bid/44995/info. [14] OWASP foundation and TrustWave SpiderLabs. Owasp modsecurity core rule set project. owasp.org/index.php/Category: OWASP_ModSecurity_Core_Rule_Set_Project, 2012.
[15] N. Provos, P. Mavrommatis, M. A. Rajab, and F. Monrose. All your iframes point to us. In Proceedings of the 17th conference on Security symposium, SS’08, pages 1–15, Berkeley, CA, USA, 2008. USENIX Association. [16] N. Provos, D. McNamee, P. Mavrommatis, K. Wang, and N. Modadugu. The ghost in the browser analysis of web-based malware. In Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, HotBots’07, pages 4–4, Berkeley, CA, USA, 2007. USENIX Association.
[17] N. Provos, M. A. Rajab, and P. Mavrommatis. Cybercrime 2.0: When the cloud turns dark. Queue, 7(2):46–47, Feb. 2009.
[18] B. Stone-Gross, M. Cova, C. Kruegel, and G. Vigna. Peering through the iframe. In INFOCOM, 2011 Proceedings IEEE, pages 411 –415, april 2011.
[19] webhosting.info. Country-wise top hosts. webhosting.info/webhosts/ tophosts/Country/, 2012.
If you found an error, highlight it and press Shift + Enter or click here to inform us.