HoneyBot - Nethemba

BLOG

HoneyBot

2010-06-16 09:08 Pavol Lupták

Predstavme si bežnú situáciu, pri ktorej chceme demonštrovať útok pre konkrétnu sociálnu sieť. Našim cieľom bude napadnút čo najväčší počet používateľov, najčastejší príklad je rozposielanie spamu alebo využitie nejakej XSS zraniteľnosti na kontrolu účtov obetí. Môžeme si k tomu pripraviť URL so škodlivým kódom.

Jednou z nepochybne zaujímavých možností je použiť bota a automatizovať samotné sociálne inžinierstvo. Strojová inteligencia je však stále ľahko detekovateľná. Čo tak realizovať útoky typu MITM (man-in-the-middle)?

Presne toto napadlo aj štyroch výskumníkov z inštitútu EUROCOM vo Francúzsku – Tobias Lauinger, Veikko Pankakoski, Davide Balzarotti a Engin Kirda. Napísali konkrétnu implementáciu, bota s názvom HoneyBot. Ten inicializuje spojenie (pozdraví jednu z dvoch osôb) a následne iba preposiela, prípadne jemne modifikuje správy medzi nimi.

Príklad komunikácie:
bot -> alice: hi!
alice -> bot: hello
bot -> carl: hello

carl -> bot: hi there, how are you?
bot -> alice: hi there, how are you?
alice -> bot: …

Autori si určili ako ďaľší cieľ:

  • ovplyvniť tému rozhovoru
  • pôsobiť dôveryhodne, aby osoby odklikli na botom poslané URL
  • snažiť sa udržať čo najdlhšie konverzáciu

Keďže na útok je potrebný systém na výmenu správ (ľubovoľný instant messenger), použili bota na niekoľkých IRC kanáloch a výsledky merania vznikali v priebehu 74 dní. V prípade, že si medzi sebou ľudia vymieňali URL, ktorú bot zamenil, 76.1% z nich ju aj odkliklo.

Všetky preposlané správy okrem úvodnej pochádzajú od ľudí, čo robí bota úplne nenápadným a veľmi tažko odhaliteľným. Rovnako nikdy nekontaktuje používateľov s administrátorskými právami a disponuje algoritmom, pomocou ktorého si dokáže prispôsobiť vety v závislosti od pohlavia.

Výskum prebiehal aj na sociálnej sieti Facebook, kde môže reálny útočník profily “naklonovať”, tj vytvoriť identický falošný profil. Počas experimentu bolo 5 konverzácií úspešne naviazaných s priemerom 4.8 prijatých správ od jedného používateľa a 4 z 10 ľudi odkliklo TinyURL odkaz.

Odhaliť HoneyBot-a je podľa výskumníkov pre priemerných používateľov na niektorých sietiach takmer nemožné a útočník podľa nich dokáže zabrániť úspešnosti akejkoľvek heuristiky.

zdroj: http://seclab.tuwien.ac.at/papers/autosoc-leet2010.pdf