Разкриване на фалшиви хотелски сайтове зад Cloudflare: Технически методи

Когато анализирахме стотици фалшиви хотелски сайтове, картината, която се появи пред нас, бе изключително показателна: повече от осемдесет процента от тези сайтове се хостваха зад Cloudflare CDN (Мрежа за доставка на съдържание). Този избор не е случаен; Cloudflare скрива реалния IP адрес на сървъра, което значително затруднява процесите по takedown (премахване).

За да започне процедура срещу фалшив сайт, е необходимо да се свържете с хостинг компанията. А за да се свържете с хостинг компанията, е задължително да знаете IP адреса. Когато Cloudflare скрие този IP, изглежда, че процесът се блокира. Но видимото и реалното невинаги са едно и също нещо.

В тази статия разглеждаме как работи Cloudflare, защо защитата не е абсолютна и техническите методи, използвани за преодоляване на тази защита и достигане до реалната инфраструктура на фалшивите сайтове.

Легитимните сайтове използват Cloudflare за DDoS защита, оптимизация на скоростта и сигурност. Измамниците обаче го предпочитат по друга причина: за да останат анонимни.

Когато един сайт влезе зад проксито на Cloudflare, всяка DNS заявка, направена отвън, показва само IP адресите на Cloudflare. Реалният IP адрес на сървъра не се вижда. Това затруднява както исканията за премахване, така и идентифицирането на хостинг компанията.

Секторните експерти посочват, че използването на Cloudflare по този начин от измамници всъщност представлява злоупотреба с платформата. Собствените политики на Cloudflare забраняват това използване; системата обаче не се намесва автоматично без оплакване.

Защитата на Cloudflare работи на определен слой: тя маскира HTTP и HTTPS трафика. Но един уеб сървър не работи само с уеб трафик. Имейл сървърите, старите DNS записи, конфигурациите на поддомейни и поведението на сървъра могат да останат извън тази маска.

В нашето проучване установихме, че в седемдесет и три процента от фалшивите сайтове, използващи Cloudflare, е било възможно да се достигне до реалния IP адрес чрез поне един алтернативен метод.

Това е най-често срещаната и най-продуктивна уязвимост. Дори основният домейн да е зад Cloudflare, поддомейните могат да сочат директно към IP адреса на сървъра с различна конфигурация.

Техническата причина за това е следната: SMTP (имейл) трафикът не може да бъде насочен през проксито на Cloudflare. Поддомейни като „mail.sahteotel.com“ или „smtp.sahteotel.com“ трябва да се свързват директно с пощенския сървър. Когато се направи DNS заявка за този поддомейн, реалният IP адрес се вижда директно.

В един случай, който установихме при нашето проучване, докато основният домейн беше под пълна защита на Cloudflare, поддомейнът „info.“ сочеше директно към сървър в Източна Европа. На същия сървър се хостваха 17 различни фалшиви сайта за резервации.

Сред инструментите, използвани за сканиране на поддомейни, могат да се посочат Sublist3r, Amass и Subfinder. Тези инструменти изпробват често срещани имена на поддомейни за даден домейн и определят кой от тях сочи към реален IP.

• mail., smtp., imap., pop., mx., webmail. (имейл инфраструктура)
• ftp., sftp. (трансфер на файлове)
• cpanel., whm., plesk., direct-admin. (хостинг панели)
• api., backend., admin., portal. (приложни слоеве)
• dev., staging., test., beta. (среди за разработка)

По-голямата част от фалшивите сайтове в началото не използват Cloudflare. След като сайтът бъде създаден, те преминават зад CDN поради риск от разкриване. DNS записите от този период преди преминаването остават съхранени в различни архивни услуги.

Пасивни DNS бази данни като SecurityTrails и ViewDNS.info съхраняват IP адресите и записите на nameserver-ите, които един домейн е използвал в миналото. Когато се погледне в тези архиви, може да се види реалният IP адрес на сървъра, използван преди преминаването към Cloudflare.

В опита на един наш клиент бяха изминали само три дни, откакто ни съобщиха, че фалшивият сайт е преминал към Cloudflare. Заявката, която направихме в SecurityTrails, разкри два различни IP адреса, използвани в периода преди преминаването. Единият от тези IP адреси все още обслужваше активно повече от един фалшив сайт.

В CT логовете могат да се правят търсения не само по име на домейн, но понякога и на база IP. Някои сървъри вземат SSL сертификати и за своите директни IP адреси.

След като бъде установен един IP адрес, в crt.sh могат да се потърсят записи за сертификати, принадлежащи на този IP. Това търсене може да разкрие други фалшиви сайтове в същата инфраструктура.

В реален случай: след като открихме IP адреса на фалшив хотелски сайт чрез метода с поддомейни, при търсенето, което направихме в CT логовете, установихме още 27 различни фалшиви домейна за същия IP. Всички те бяха в обхвата на една и съща операция.

За да получите по-подробна информация за Certificate Transparency логовете, ви препоръчваме да прегледате статията ни за Мониторинг на Certificate Transparency Log.

Shodan е търсачка, която постоянно сканира устройства и сървъри, свързани с интернет. Когато се потърси IP адрес в Shodan, могат да се видят версиите на софтуера, работещи на този сървър, отворените портове, заглавията на услугите (HTTP response headers) и информацията за банери.

Тази информация може да се използва за няколко различни цели:

• Определяне на коя хостинг компания принадлежи сървърът (ASN информация)
• Установяване на други сайтове, хоствани на същия сървър
• Отбелязване на известни уязвимости в софтуера на сървъра (подкрепящо доказателство при заявления за takedown)

В част от анализираните от нас фалшиви сайтове информацията, получена от сканирането в Shodan, позволи идентифицирането на регистрираната хостинг компания на сървъра и даде възможност за директно обръщане към тази компания.

Някои уеб сървъри, поради неправилна конфигурация, разпространяват подробна информация за сървъра в крайни точки като „/server-status“ или „/server-info“. На сървъри с тази уязвимост могат да бъдат изброени имената на всички виртуални хостове (virtual host), използващи този сървър.

Когато се установи такъв тип уязвимост, защитата на Cloudflare става нефункционална. Тъй като чрез собственото известие на сървъра всички домейни и връзката им с IP адреси излизат наяве. Срещнахме точно тази уязвимост в един от анализираните от нас фалшиви сайтове; сървърът хостваше 31 различни фалшиви домейна и сам предоставяше информация за всички тях.

За установяване на такива уязвимости не е необходимо ръчно да се проверява всеки URL адрес. Автоматизираните инструменти могат бързо да сканират тези крайни точки.

Достигането до реалния IP адрес конкретизира процеса на takedown:

Директна жалба до хостинг компанията: Чрез ASN заявка (с инструменти като bgp.he.net или ipinfo.io) може да се определи на коя хостинг компания принадлежи IP адресът. На abuse имейл адреса на хостинг компанията може да се изпрати известие по DMCA или жалба за злоупотреба.

Силно заявление до Cloudflare: При оплаквания, направени до Cloudflare, представянето на информация за реалния сървър ускорява процеса на разглеждане на заявлението. Cloudflare може да прекрати услугата за сайтове, които нарушават политиката за злоупотреба.

Техническо доказателство при заявление до прокуратурата: IP адресът и информацията за хостинг имат характер на техническо доказателство в турския наказателен процес и помагат за ускоряване на разследването.

Всеки уеб сървър изпраща различна информация в заглавията (headers) на HTTP отговорите. Сред тези заглавия могат да се намерят улики за софтуера на сървъра, средата на изпълнение или хостинг инфраструктурата.

Заглавия, на които трябва да се обърне специално внимание:

• Server: Може да разкрие софтуера на сървъра като Apache, Nginx, LiteSpeed; понякога съдържа и информация за версията.
• X-Powered-By: Информация за времето на изпълнение като версия на PHP, версия на ASP.NET.
• CF-Cache-Status: Статус на кеша на Cloudflare — потвърждава дали сайтът наистина е зад Cloudflare.
• Set-Cookie: Някои хостинг платформи оставят свои следи в заглавието на бисквитките (cPanel, Plesk и др.).

За проверка на тези заглавия могат да се използват инструментите за разработчици на браузъра (F12 → раздел Network). Също така е възможно да се видят заглавията в необработен формат чрез командата curl.

В опита на един наш клиент „X-Powered-By: PHP/7.4“ и специален формат на сесийна бисквитка направиха възможно идентифицирането на хостинг доставчика. Тази комбинация носеше отпечатъка на конкретна хостинг компания и бе изпратено известие за abuse директно до нея.

Фалшивите хотелски сайтове понякога използват и функционални имейл адреси, за да създадат усещане за реалност. Страници за контакт, съдържащи имейл адреси като „[email protected]“, придават легитимен вид на фалшивия сайт.

Проверката на MX (Mail Exchange) записа на този имейл адрес може да разкрие IP адреса на пощенския сървър. MX заявка, направена с MXToolbox или командата dig, показва накъде е насочен имейл трафикът. Пощенският сървър често не е зад проксито на Cloudflare и разкрива реалния IP адрес.

В един случай, установен при нашето проучване, MX записът сочеше към IP адрес, напълно различен от уеб трафика. Този IP адрес съвпадаше с фалшива хостинг инфраструктура, която бяхме установили по-рано; по този начин успяхме да документираме, че два различни фалшиви хотелски сайта принадлежат на един и същ оператор.

На практика прилагането на тези методи в поток, а не независимо един от друг, дава най-продуктивния резултат. Препоръчителен ред на изследване:

1. Заявка за DNS история (SecurityTrails): Има ли IP отпреди Cloudflare?
2. Сканиране на поддомейни: Поддомейни като mail., smtp., ftp., admin. сочат ли директно към IP?
3. Заявка за MX запис: Накъде насочва IP адресът на пощенския сървър?
4. Изследване на CT логове: Има ли други записи на сертификати за открития IP? Могат ли да бъдат открити други сайтове на същия оператор?
5. Сканиране в Shodan: Информация за софтуера и инфраструктурата, работещи на IP адреса.
6. Анализ на HTTP header: Улики за хостинг платформата.

Когато приложим този поток към един фалшив сайт, изразходваме средно 45-90 минути; но резултатите често дават изчерпателна информация не само за този сайт, но и за цялата фалшива операция.

Често задаван въпрос: Защо Cloudflare продължава да обслужва тези фалшиви сайтове?

Cloudflare е компания, която предоставя инфраструктурни услуги, а не съдържание, и взема решения според собствените си политики. Тя прекратява услугата за сайтове, за които е доказано, че съдържат фишинг, нарушение на търговска марка и измама; но взема това решение чрез процес, основан на оплаквания.

При разглеждане на известия за Abuse Cloudflare търси следното:

• Конкретно доказателство за фишинг (форма за плащане, фалшив екран за резервация и др.).
• Документ за нарушение на търговска марка (регистрация на търговска марка или доказателство за ясно собственост върху марката).
• Изявления на пострадали (жалби от потребители, документиращи, че са пострадали).

Секторните експерти посочват, че при известия с високо качество на документите решението на Cloudflare за прекратяване на услугата идва в рамките на 3-7 дни. При известия със слаби или неясни документи процесът може да се удължи или да остане без резултат.

Поради тази причина е от критично значение към известието до Cloudflare да се добавят техническите доказателства, събрани чрез горните методи за изследване.

Прилагането на тези методи един по един изисква както технически познания, така и време. В нашето проучване в някои случаи достигането до реалния IP на фалшив сайт отнемаше часове.

Като се има предвид броят и сложността на фалшивите хотелски сайтове, ръчното изследване не е устойчиво в дългосрочен план. Секторните експерти посочват, че автоматизирането на такива анализи се е превърнало в оперативна необходимост.

В нашето проучване беше забелязано, че хотелите, достигнали до реалния IP, са успели да премахнат фалшивите сайтове средно за 4 дни. В случаите, когато не е могъл да бъде установен реален IP, този период нарастваше до 3-6 седмици; през това време фалшивият сайт продължаваше да събира пари от гостите. Установяването на IP не е въпрос на комфорт; то създава разлика в ефективността, която може да бъде директно измерена чрез икономическа загуба.

Освен изследването на DNS историята на етапа на установяване на реален IP, мониторингът на CT логовете също е мощна допълваща техника. В това ръководство можете да научите как да наблюдавате всички SSL сертификати, издадени от името на вашия хотел чрез Certificate Transparency логове. Освен това платформите SecurityTrails и Shodan са често използвани безплатни ресурси при установяване на IP.

Законно ли е разкриването на сайт зад Cloudflare? Да. Пасивната DNS заявка, изследването на CT логове и сканирането на архиви са напълно законни технически методи. Тези методи се възползват от публично достъпни данни. Действия, които имат характер на неоторизиран достъп до система или атака, не са законни; но методите, описани в това ръководство, не попадат в тази категория.

Кой е най-бързият метод за преодоляване на Cloudflare? Изследването на DNS история (SecurityTrails, PassiveDNS) и проверката на CT логове (crt.sh) дават резултати в рамките на няколко минути в повечето случаи. Специфични за сайта поддомейни или стари имейл заглавия също могат да осигурят бързо установяване на IP. Въпреки че няма категорична подредба, процентът на успех се увеличава значително, когато тези два метода се използват заедно.

Каква информация предоставя Shodan? Shodan сканира отворените портове и изброява услугите и информацията за банери, работещи на определен IP адрес. Той показва в коя държава се намира един IP, кой хостинг доставчик използва и какви са отворените уеб услуги. Тази информация служи като конкретно техническо доказателство при изготвяне на Abuse известие до хостинг доставчика.

Може ли да се започне takedown без реален IP? Да. Дори и да не се знае реалният IP, може да се направи ICANN оплакване до регистратора на домейна и фишинг известие до Cloudflare. Въпреки това, установяването на IP осигурява важно предимство за директно обръщане към хостинг доставчика и за получаване на по-бързи резултати. Takedown на ниво домейн и затваряне на сървъра чрез проследяване на реален IP са две стратегии, които се допълват взаимно.

Използвайте автоматизирания инструмент за сканиране на RuuSafe, за да установите реалната инфраструктура зад Cloudflare на фалшивите сайтове, принадлежащи на вашия хотел. Първото сканиране е безплатно и дава резултати в рамките на няколко минути.