Jak se kradou citlivé informace: VulVA model

Následující model zachycuje, jakým způsobem dochází ke krádeži informací, a jakou roli v tom hrají nezabezpečené počítače.

Při návrhu modelu jsme vycházeli z předpokladu, že vždy musí existovat nějaká zranitelnost (VULnerability), oběť (Victim) a samozřejmě útočník (Attacker). Proto jsme tento model nazvali VulVA.

VulVA model

Je pravda, že jsme poměrně dlouho hledali nějaký model, který by byl schopen srozumitelně zachytit, jakým způsobem ke krádeži informací vlastně dochází. Bohužel většina modelů na internetu nám přišla příliš komplexní. My jsme chtěli něco, co by bylo velice jednoduché a snadno pochopitelné. Nakonec jsme se rozhodli, že si vytvoříme svůj vlastní model a myslím, že jsme se rozhodli správně, protože jsme stvořili něco, za co se rozhodně nemusíme stydět.

Jsme si samozřejmě vědomi skutečnosti, že ani náš model není úplně dokonalý, a může vyvolat velice kontroverzní reakce, obzvlášť mezi odborníky, ale jsme přesvědčeni, že hlavní cíl, tedy přiblížení této problematiky masám, se nám podařilo splnit. Budeme rádi, pokud náš model přispěje k lepšímu pochopení této problematiky. Pokud byste měli nějaký námět na vylepšení, tak napište. Nyní se ale podívejme na samotný model.

Útočník našel na nějakém poměrně navštěvovaném webu zranitelnost a tu se rozhodl zneužít k tomu, aby do jeho webových stránek začlenil škodlivý kód, který se stane jejich nedílnou součástí.

Každý, kdo tento web navštíví, je pak vystaven riziku, že do jeho počítače bude bez jeho dalšího přičinění stažen malware. A to v případě, že škodlivý kód, který útočník na web umístil, zneužívá zranitelnosti nultého dne, nebo návštěvník nepoužívá antivirus a neudržuje svůj systém a aplikace aktuální.

Malware se poté na zařízení oběti aktivuje a svou přítomnost a činnost dovedně maskuje, aby se vyhnul odhalení i v případě aktualizace sytému, aplikací a antiviru. Malware na počítači, připojených discích a případně i dalších počítačích v síti vyhledává a shromažďuje citlivé informace.

Aby se znemožnilo odhalení útočníka v případě, že by byl malware na stanici oběti detekován, komunikuje malware s útočníkem výhradně prostřednictvím C&C serveru, což je v podstatě jiná stanice nebo server též kompromitován a ovládán útočníkem.

V okamžiku, kdy jsou na stanici oběti shromážděny citlivé informace, které jsou předmětem zájmu útočníka, posílá útočník prostřednictvím C&C serveru malwaru na počítači oběti instrukci, kam má dané soubory nahrát. Malware na počítači oběti citlivé soubory zašifruje a poté je nahrává do drop zóny, což není nic jiného, něž další počítač nebo server, ne nutně kompromitovaný, ale dostupný přes internet, který slouží jako úložiště.

Způsob, jakým se malware na počítači oběti maskuje, jak komunikuje s C&C serverem, a jak probíhá přenos dat do drop zóny, byl detailně popsán v sérii příspěvků „Na obzoru se objevují nové hrozby, třeste se!, přičemž některé v článcích zmiňované techniky se již staly realitou, stejně jako Eurograbber a DDoS útoky, před kterými jsme před časem též varovali. (To je ostatně i dobrý důvod, proč příspěvky na tomto webu sledovat a případně si i objednat Cyber Threat Report, pozn. vydavatele.)


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Jak se kradou citlivé informace: VulVA model” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: