Киберпреступники постоянно видоизменяют контент, загружаемый с управляемых
ими сайтов, с тем, чтобы затруднить его эффективный анализ.
По данным Websense Security Labs, отслеживание вредоносного ПО становится все
более затруднительным, поскольку на хакерских сайтах предоставляемый контент
постоянно меняется в зависимости от IP-адреса и идентификатора приложения. Так,
при проведении исследования подозрительных Flash-файлов в компании столкнулись с
ситуацией, когда при переходе по присланной в электронном сообщении ссылке на
.swf-файл пользователь автоматически перенаправлялся на подозрительный сайт.
Однако, когда эксперты попробовали скачать тот же файл при помощи Wget, они
столкнулись с сообщением об "Ошибке 403" (Отказ в доступе).
Сначала исследователи решили, что они либо попали в черный список хакеров,
либо те проверяли все атрибуты в заголовке HTTP. Однако после настройки cookie
выяснилось, что соединение все-таки происходит. Таким образом удалось понять,
что хакеры в данном случае установили запрет на доступ приложения, имитирующего
работу браузера (Wget).
В своем
блоге эксперт из Websense Стефан Шенетт дал дальнейшие разъяснения: "Чтобы
проверить наши выводы, я написал небольшой скрипт на PERL. Вначале я вписал в
него все заголовки, которые сервер ожидает увидеть в случае, когда пользователь
кликает по ссылке на .swf-файл. Я получил от сервера, содержащего спам, ответ
‘200 OK'. После этого, я захотел убедиться, что сервер просматривает HTTP
REFERER, но с удивлением обнаружил, что ответ сервера от него не зависит. После
непродолжительной игры с настройками я выяснил, что сервер анализирует данные
идентификатора приложения. Если они соответствуют Wget, то он выдает ошибку".
