Atacantes usan Honeypots para colocar trampas a los investigadores

Los atacantes cambian constantemente sus tácticas y las adaptan a las acciones que ejecutan la comunidad de la seguridad y los investigadores, y no es raro que los chicos malos adopten técnicas utilizadas por sus adversarios. El último ejemplo de esto es una banda de software malicioso que ha implementado el equivalente a un honeypot especialmente diseñado para monitorear la actividad de los investigadores o de otros atacantes que intenten acceder a un servidor de comando y control.

Al investigar una pieza de malware relacionados con a la red de robots Zeus, un grupo de investigadores en The Last Line of Defense obtuvo el acceso a un servidor remoto utilizado para auxiliar al control del ataque. Este ataque en particular fue el envío de grandes cantidades de correo no deseado durante el mes de octubre, específicamente a los propietarios de negocios que presentan sus impuestos trimestrales. Conocido como el malware EFTPS, el spam incluye un enlace que envía a las víctimas a un sitio que tiene cargado el troyano Zeus en sus máquinas y luego las envía al sitio real del Departamento del Tesoro de EE.UU: que se encarga de estos pagos.

Pero la parte interesante fue lo que los investigadores encontraron al acceder al servidor back-end: una consola de administración falsa. Muchas, por no decir la mayoría, de las campañas de malware a gran escala ya tienen algún tipo de interfaz de administración en un servidor remoto que permite a los atacantes ingresar y acceder a las estadísticas sobre las infecciones, la distribución geográfica de las computadoras comprometidas y otras métricas. Y los investigadores han podido acceder a estas consolas en varias ocasiones, extrayendo la información importante para saber más sobre los atacantes que esta por detrás del malware y el modo de operar del ataque.

Pero en este caso, aparentemente los atacantes previeron esto y configuraron una interfaz de entrada falsa, con un nombre de usuario y una contraseña débil y una vulnerabilidad simple de inyección SQL. La consola claramente tiene la intención de atraer a los investigadores, y tal vez a otros atacantes, y así permitir al grupo por detrás de EFTPS observar sus movimientos y métodos.

“La interfaz de administración actúa como ” honeypot para hackers” que registra la información detallada acerca de quienes intentaron acceder a la consola de administración, así como que trataron de introducirse en él. El sistema de entrada falsos convenientemente acepta fácilmente credenciales predeterminadas y cadenas comunes de inyección SQL . Después de que el investigador / hacker es ‘autenticado´, se muestran de forma aleatoria estadísticas de la explotación”, dijeron los investigadores en una entrada de blog.

La consola de administración también tiene una característica que permite a los usuarios remotos subir nuevos “robots”, una táctica que, evidentemente está diseñada para atraer a otros atacantes para que intente comprometer el servidor para que el equipo EFTPS puede obtener una lectura de lo que están haciendo.

Los investigadores legítimos de seguridad han estado usando los sistemas honeypot desde hace años y se han convertido en una herramienta clave para la recopilación de información sobre nuevas vulnerabilidades, técnicas de ataque y la investigación de redes de robots. El ejemplo más destacado es el Honeynet Project, una red de voluntarios de todo el mundo que mantienen complejos honeypots y publican una gran cantidad de investigaciones sobre lo que recolectan y observan. 
to de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques (wikipedia.org)