Hi-Tech

Ilyen könnyű céleresztbe fogni a kártevők áldozatait

Hogyan találják meg könnyen a webes bűnözők az áldozataik pontos helyét? Egy adatkapcsolati rétegen használt azonosító és a WiFi AP MAC cím (BSSID) révén könnyen lokalizálhatók a fertőzött gépek.

Elég az IP címet összevetni egy IP-alapú földrajzi adatbázissal – mint amilyen például a MaxMind GeoIP -, és már meg is kapják a rosszindulatú kódok írói az általuk megfertőzöttek hozzávetőleges földrajzi helyzetét. Persze, a technika nem túl pontos, de az egyik legegyszerűbb és leghatékonyabb módszer a felhasználók tényleges fizikai helyzetének meghatározására a számítógépén található adatok alapján.

Azonban Xavier Mertens biztonsági szakértő blogjában már a múlt hónapban felhívta a figyelmet arra, hogy új malware-törzsre bukkant, amely az eddigieken felül a fertőzött user adatkapcsolati rétegen használt azonosítóját is alapul veszi, ezáltal még pontosabban képes „belőni” az áldozatul esett gép helyzetét.

A Basic Service Set Identifier (BSSID) tulajdonképpen a vezetéknélküli router vagy hozzáférési pont fizikai MAC címe, amelyen keresztül a user a Wi-Fi hálózaton keresztül csatlakozik, azaz meghatározza, hogy mely hozzáférési pont mely felhasználóhoz tartozik.

Windows esetében egyszerűen megnézhetjük a BSSID-t, a Parancssorban írjuk be a következőt: netsh wlan show interfaces | find „BSSID”

Mertens szerint az általa leleplezett malware ezeket a BSSID-ket gyűjti, majd veti össze az Alexander Mylnikov nevéhez fűződő, ingyenes BSSID-alapú földrajzi adatbázissal, amely nem más, mint az azonosított címek és az azokkap összekapcsolt, utoljára észlelt földrajzi helyek gyűjteménye.

Az ilyen típusú adatbázisok egyáltalán nem ritkák, a mobilalkalmazások üzemeltetői általában a felhasználók nyomon követésének alternatívájaként használják, amikor nem tudnak közvetlenül hozzáférni a telefon helyadataihoz. Ilyen publikus adatbázis a WiGLE is.

A BSSID és Mylnikov adatbázisának összevetése lehetővé teszi a rosszindulatú programírók számára, hogy meghatározzák annak a WiFi hozzáférési pontnak a fizikai földrajzi helyzetét, amelyet az áldozat az internet eléréséhez használt. A két módszer, azaz az IP-alapú a BSSID módszerrel kiegészítve pedig már igen hatékonnyá teszi a felderítő munkát.

Hogy ez miért fontos? Mert sokszor az kell, hogy a rosszindulatú kódok célpontjai például egy adott országon belül legyenek, vagy éppenséggel pont az a cél, hogy a saját országuk felhasználóit megkíméljék a támadásoktól, persze nem jóindulatból, hanem azért, hogy elkerüljék a szankciókat. Mindazonáltal, a BSSID-n alapuló dupla ellenőrzés alkalmazása még nem terjedt el, de mivel számos előnye van, szinte csak idő kérdése…

ComputerWorld.hu