CyberProbe è una evoluta piattaforma capace di identificare i server che fanno parte di una operazione di cybercrime, un potente strumento al servizio degli investigatori.
Nel panorama del cybercrime esistono diverse categorie di server maligni, per esempio Exploit Server che vengono utilizzati per trasformare il traffico delle vittime in installazioni di malware o server cosiddetti di “monetizzazione” (utilizzati nelle campagne di ransomware per riscuotere i riscatti). Sono inoltre attivi server di tipo Command and Control (C&C), utilizzati per controllare reti di computer infetti (botnet), server proxy o reverse proxy, utilizzati rispettivamente per celare le tracce di un attacco e per nascondere la destinazione finale dei server di un’operazione di cybercrime. Tutte queste tipologie di piattaforme sono utilizzate dai criminali per organizzare le differenti attività e le operazioni di attacco.
All’atto pratico, una campagna ransomware potrebbe includere 3 Exploit Server, per consentire l’installazione di codice malware, oltre a 4 server di monetizzazione per riscuotere i riscatti. Non solo, potrebbero essere utilizzati 2 server di tipo C&C, per controllare le macchine infette e per lanciare, ad esempio, attacchi di negazione del servizio e, in aggiunta, 3 reverse proxy che nascondono l’indirizzo IP del server finale. Le complesse attività criminali si affidano in particolar modo sull’elusione e sulle capacità di celare dati e macchine. Per fare questo una campagna ransomware include solitamente un exploit server, una macchina per nascondere i server C&C e una per nascondere i server di monetizzazione.
In tutta la rete Internet esistono moltissime operazioni che possono avere questo tipo infrastruttura, con opportune varianti di configurazione. Si tratta di scenari complessi per gli investigatori che si occupano di effettuare il “take down” di un’operazione ransomware. Per smascherare simili attività sono richieste tecniche in grado di identificare possibilmente tutti i server dell’operazione, poiché, se almeno un server C&C e un server di monetizzazione restano attivi, l’operazione stessa continua a generare proventi illeciti per i cybercriminali.
CyberProbe genera fingerprint per diverse tipologie di server e, tramite una scansione di tutta la rete Internet, è in grado di identificare diverse operazioni di CyberCrime
Una possibile soluzione a questo tipo di problema è stata data dagli studiosi dell’istituto di ricerca IMDEA Software di Madrid e l’università del Texas A&M, nel lavoro CyberProbe: Towards Internet-Scale Active Detection of Malicious Servers (Antonio Nappa, Zhaoyan Xu, M. Zubair Rafique, Juan Caballero, Guofei Gu). Si tratta dalla piattaforma “CyberProbe”, presentata al prestigioso congresso di sicurezza informatica NDSS a San Diego. Il sistema promette di enumerare tutti i server di una data operazione di cybercrime, se esiste almeno un server attivo per ogni tipologia di servizio utilizzato nell’operazione stessa.
CyberProbe risolve uno dei problemi principali che gli analisti e gli investigatori si trovano a dover affrontare: rilevare tutti i server malevoli di una determinata operazione. In precedenti studi gli indirizzi dei server venivano reperiti presso siti web esterni, spesso gestiti da volontari, ma la limitazione di questo tipo di approccio deriva dal fatto che i server presenti in queste “liste” offrono una “fotografia” parziale della reale situazione presente su Web. Per questo motivo gli autori di CyberProbe propongono una soluzione su larga scala e che prevede di scansionare tutta la Rete con l’utilizzo di una vera e propria impronta digitale dei server malevoli, per poter identificare il maggior numero possibile di macchine appartenenti a una data operazione di cybercrime.
