Ефективне використання клоакінгу проти веб антивірусів

22:45 02.09.2011

В своїх статтях Обхід систем для пошуку вірусів на веб сайтах (де я розповідав про використання клоакінгу) та Обхід поведінкового аналізу, або шкідливе ПЗ наносить удар у відповідь (де я розповідав про обхід систем, що базуються на поведінковому аналізі) я описав різні методи, які дозволяють обходити веб антивіруси. І для протидії шкідливому ПЗ на сайтах веб антивіруси повинні їх враховувати.

І нещодавно я виявив, що Гугл почав використовувати підробку (spoofing) User-Agent для своїх ботів. Що може бути пов’язано як раз з бажанням покращити ефективність роботи своєї системи виявлення вірусів на сайтах - щоб за допомогою клоакінга (а підробка UA є різновидом клоакінга) деклоакнути віруси на веб сайтах. З однієї сторони пошукові системи забороняють використовувати клоакінг проти них (відносять це до “чорних методів”), а ось тут виявляється, що і вони самі іноді полюбляють його використовувати :-) .

Але він використовує спуфінг неефективно і при продуманому використанні клоакінгу, шкідливе ПЗ може ефективно приховуватися від ботів Гугла та від ботів будь-яких пошукових систем, в тому числі тих, що мають вбудовані антивіруси.

Якщо раніше бот Гугла називав себе в заголовку User-Agent як “Googlebot” (наприклад, “Googlebot/2.1″), то з недавніх пір він іноді іменує себе як “MOZILLA 5.0″. З однієї сторони це може допомогти деклоакнути приховане malware на сайтах, але з іншої сторони цього недостатньо. Тому що просунуті віруси можуть перевіряти не тільки User-Agent, але й IP, а також робити зворотній пошук в DNS.

Зокрема для даного бота IP рівний 66.249.66.102, а домен - crawl-66-249-66-102.googlebot.com. Що дозволяє через резолвінг IP визначати, що це саме Googlebot. І навіть, якщо зробити інше доменне ім’я, але в записах WHOIS буде вказано, що цей IP належить Гуглу, то вірус може використати цю інформацію для створення списку IP (або робити запити до WHOIS в реальному часі) по яким буде приховувати себе від даних ботів.

Тобто ефективний клоакінг відбувається одразу по декільком параметрам: User-Agent, IP і DNS. І це давно відомі речі в світі клоакінгу (і коли я розробляв свою систему Web VDS я враховував не тільки User-Agent, але й інші параметри). І тому розробникам веб антивірусів, в тому числі пошукових систем з вбудованими антивірусами, потрібно це враховувати.


Одна відповідь на “Ефективне використання клоакінгу проти веб антивірусів”

  1. MustLive каже:

    You can read this article on English in The Web Security Mailing List: Effective use of cloaking against web antiviruses.

Leave a Reply

You must be logged in to post a comment.