¬аш вопрос св€зан с хэштэгами #“елефони€, #“еори€? —просите в Telegram!

јтаки на VoIP: кому это выгодно?

–еальна€ угроза финансам организации

ћерион Ќетворкс

6 минут чтени€

“акже, как и системы электронной почты, системы VoIP телефонии есть практически у каждой компании. Ёто могут быть простые облачные ј“—, арендуемые у провайдера или собственные выделенные под IP-ј“— серверные мощности, но среда, по которой передаЄтс€ сигнализаци€ и пользовательский трафик данных систем один Ц »нтернет. Ёто делает систему VoIP телефонии одной из самых востребованных злоумышленниками целей, ведь получив к ней доступ, открываетс€ масса возможностей дл€ извлечени€ прибыли или нанесени€ другого ущерба.

≈сли ¬ы банально откроете логи своего межсетевого экрана и поищите запросы, поступающие извне, то наверн€ка увидите, что тыс€чи сканеров каждую секунду пробуют узнать какие сервисы работают на вашем внешнем адресе. » даже если этот адрес никак не св€зан с IP-телефонией, то вы всЄ равно там увидите запросы, св€занные с VoIP. Ёто говорит о том, что злоумышленники очень хот€т найти у€звимые системы телефонии и знают как проэксплуатировать вы€вленную брешь.

¬ этой статье разберЄм какой профит получают хакеры, взломавшие VoIP систему, основные методы атак и протоколы, на которые они направлены.

јтаки на VoIP: кому это выгодно?

„его хот€т плохие парни?

 ак только ¬аша систему IP-телефонии будет зарегистрирована в сети VoIP провайдера Ц вы сможете позвонить в любой уголок мира - на мобильный телефон в “айване, на такософон в одной из красных будок Ћондона и даже на декадно-шаговую ј“— в музее ‘ранкфурта-на-ћайне! „то сделает злоумышленник, получивший такую возможность? Ц ¬оспользуетс€ ею за ¬аш счЄт!

¬ большинстве плачевно известных случаев, получа€ доступ к системе по средствам какой-либо у€звимости, злоумышленники делают следующее:

  • совершают дорогосто€щие звонки на дальние рассто€ни€ (long-distance calls);
  • перепродают возможность звонка третьим лицам, не подозревающим, что услуга предоставл€етс€ на украденных мощност€х
  • звон€т на номера с премиум обслуживанием, зарабатыва€ кэшбэк на свой счЄт

—уществует провайдеры телефонных номеров с премиум обслуживанием (international premium rate number - IPRN). Ёто такие номера, звонки на которые, происход€т очень часто и со всего мира. Ќапример, номера дл€ технической поддержки, прогноза погоды, сервисы дл€ взрослых. ѕровайдеры таких номеров плат€т часть прибыли тому, кто гонит на них трафик - генератору звонков (call generator). ¬ некоторых случа€х провайдер осознанно участвует в мошеннической схеме, а иногда и вовсе не подозревает, что платит кэшбэк злоумышленникам за трафик, сгенерированный на "угнанных" мощност€х. ¬ конечном итоге и провайдеры и call generator'ы остаютс€ в выигрыше, а платить приходитс€ тому кого взломали.

¬сЄ вышеописанное подпадает под одно определение, которому в английской литературе дали название - toll fraud. Ќа русский €зык это можно перевести как неправомочные действи€ и несанкционированное пользование чужими ресурсами телефонной св€зи.

«лоумышленникам также может быть интересно вывести вашу систему телефонии из стро€, устроив атаку типа DoS (Denial of service) - отказ в обслуживании, хот€ это случаетс€ реже toll fraud'а. Ќам известны случаи, когда целый ботнет из серверов FreePBX начинал забрасывать IP-ј“— заказчика "мусорными" вызовами, в результате чего на какое-то врем€, пользоватьс€ системой стало просто невозможно.


“ехническа€ реализаци€

—огласно исследованию IBM наиболее атакуемыми VoIP протоколами €вл€ютс€ SIP, SCCP и H.255.

—амым распространЄнным VoIP протоколом на сегодн€шний день €вл€етс€ SIP, поэтому и большинство атак осуществл€етс€ именно на этот протокол. ¬сЄ начинаетс€ с поиска сервера дл€ проведени€ атаки.

ѕротокол SIP использует стандартный порт 5060, поэтому первое, что сделает потенциальный злоумышленник Ц это отправит SIP-запрос на данный порт, чтобы посмотреть какой придет ответ.  ак правило, дл€ поиска SIP-сервиса используютс€ стандартные запросы INVITE, REGISTER или OPTIONS.

’орошей практикой €вл€етс€ перенос SIP-сервиса со стандартного порта на какой-нибудь другой. “аким образом мы можем увести сервис из-под удара. ≈щЄ лучше Ц ограничить доступ к этому порту только дл€ доверенного списка IP-адресов. ќднако, иногда такой возможности просто нет.

ƒл€ изначального установлени€ соединени€ в SIP используетс€ метод Утройного рукопожати€Ф {INVITE/200 OK/ACK}, начинающийс€ с запроса INVITE, который подтверждаетс€ ответом 200 OK. ќднако, если этот ответ от вызывающей стороны не получен, то соединение не устанавливаетс€. ≈сли наблюдаетс€ много таких незаконченных соединений за коротких промежуток времени, то это может быть признаком того, что против сервера идЄт DoS-атака.

 стати, точно таким же образом, злоумышленник может провести атаку против легитимного устройства пользовател€, чтобы сбросить его регистрацию на сервере и зарегистрироватьс€ самому. —уществует также метод УфлудаФ запросами REGISTER. ƒл€ этого злоумышленник должен знать параметры зарегистрированного устройства, регистрацию которого он хочет сбросить, подделать заголовок Contact в SIP пакете и отправить много (достаточно раз в 15 секунд) запросов REGISTER на сервер. “акой метод называетс€ Registration-hijacking.

Ёти атаки возможны благодар€ тому, что протокол SIP передает информацию в открытом виде, а значит атакующий может еЄ собрать, модифицировать и воспроизвести. ѕомимо этого, в протоколе SIP не предусмотрено проверки целостности сообщений, поэтому атаки с модифицированной информацией и воспроизведенными пакетами не детектируютс€.

«лоумышленникам совсем не об€зательно перехватывать ваш трафик, чтобы вытащить запросы регистраций легитимных пользователей, потом модифицировать их и подсовывать обратно серверу. ѕосле обнаружени€ открытого SIP-порта, можно просто устроить перебор зарегистрированных внутренних номеров, например, от 10 до 9999. ќтвет от сервера на запрос регистрации по такой схеме будет однозначно свидетельствовать о том, какие номера есть на IP-ј“—, а каких там нет. Ќапример, € могу отправить запрос на регистрацию с номера 2526 с неправильным паролем. ≈сли на сервере зарегистрирован такой номер, то € получу ответ, что пароль неверен (Wrong Password), а если нет Ц то сообщение о том, что номер не найден (Not Found). —обрав список зарегистрированных номеров можно потом применить против них метод перебора паролей и получить доступ к внутреннему номеру легитимного пользовател€.

ƒругой непри€тные метод атаки на VoIP позвол€ет прослушивать ваши телефонные разговоры. ƒл€ этого необходимо перехватить сигнальную информацию и соответствующие медиа потоки определенного соединени€. ћедиа потоки, которые как раз и содержат пакеты с голосом, обычно передаютс€ по UDP с использованием протокола RTP. «ахватив достаточное количество пакетов, можно декодировать RTP поток, а затем сделать из них простой аудио файл, который и будет содержать голос. —делать это можно с помощью программы Wireshark.

ћы рассказали про базовые методы проведени€ атак на VoIP системы. ¬ следующих стать€х, мы об€зательно расскажем как защититьс€ от каждого типа атаки, как вы€вить признаки атак и какие инструменты можно дл€ этого использовать.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: