В статье делается попытка предугадать, как может быть использован самый распространенный тип уязвимостей web-приложений в нелегальных схемах получения выгоды. Рассматривается возможность создания XSS-ботнета и его использования для разворачивания обычных, классических ботнетов.
Модели монетизации вредоносной активности
Наблюдаемые тенденции коммерциализации киберпреступности на сегодняшний день вылились в две бизнес-модели получения выгоды от распространения вредоносного кода: Crimeware-as-a-Service (CaaS) и Pay-per-Install (PPI).
В модели CaaS злоумышленники сами поддерживают инфраструктуру, необходимую для осуществления нелегальной активности (накликивание, DDoS, рассылка спама и т. п.), предоставляя доступ к ней в качестве сервиса. Такая инфраструктура обычно представляется ботнетом. Прибыль владельцев ботнетов зависит от количества узлов в ботнете и от времени его жизни. Таким образом, актуальными задачами для них являются обеспечение отказоустойчивых каналов управления ботнетом и добавление в него новых хостов.
Из актуальности второй задачи родилась вспомогательная модель монетизации вредоносной активности — PPI, согласно каковой владельцы ботнетов платят владельцам ресурсов, после посещения которых рабочая станция пользователя окажется добавлена в соответствующий ботнет. Следовательно, злоумышленники, работающие по схеме PPI, должны решить следующие задачи:
- обеспечить поток посетителей на вредоносный сайт;
- реализовать внедрение вредоносного кода на хосты посетителей.
Первая задача решается через использование уязвимостей в web-приложениях. Основная идея — внедрить в страницы web-приложения, либо перенаправление на вредоносный сайт, либо IFRAME с контентом вредоносного сайта.
Вторая задача решается или через использование методов социальной инженерии (примером могут служить страницы с фальшивыми антивирусами либо с информацией об устаревшем кодеке) или через эксплуатацию уязвимостей в браузерах.
< ... >
