Гидра в нокдауне

На прошлой неделе замолкли командные серверы Mega-D — одного из крупных ботнетов, преимущественно используемых для рассылки спама. Результат не заставил себя ждать: за несколько дней потоки «мусорных» сообщений, генерируемых его спамботами, практически иссякли.

Операция была спланирована и координировалась FireEye — небольшой калифорнийской компанией, специализирующейся на защите от угроз «нулевого дня». Согласованность действий экспертов, интернет-провайдеров, регистраторов и администраторов реестров позволила за сутки нейтрализовать не только ключевые центры управления ботнетом, но и все резервные механизмы его восстановления.

Активность Mega-D, он же Ozdok, стала особо заметной с начала прошлого года, когда его вклад в общий спам-трафик вырос до трети. Его ресурсы использовала также одиозная спамерская группировка Herbal King. С прекращением деятельности хостинг-провайдера McColo многие управляющие серверы ботнета оказались отрезанными от Сети. С тех пор инфраструктура Mega-D претерпела ряд модификаций, позволяющих быстро восстановить управление в аналогичной ситуации. По оценке M86 Security, в последнее время этот ботнет ответственен за 4,5% спам-трафика.

Последние несколько месяцев 8 из 10 управляющих серверов Mega-D хостятся в США. Локализация центров управления осуществляется также с помощью резервного списка доменных имен и списка специализированных DNS-серверов, которыми снабжено большинство ботов. Последним нововведением является алгоритм генерации доменов, который может воспроизводить одно имя в сутки. Наконец, операторы Ozdok (в классификации «Лаборатории Касперского» — Trojan.Win32.Pakes), как и большинства современных ботов, всегда могут воспользоваться услугами родственных группировок, которые будут загружать его компоненты с помощью своих зловредов.

В настоящее время активны только 4 из 16 IP-адресов и 10 из 45 доменов, задействованных в управлении ботнетом. Все домены из постоянного списка, которые не успели зарегистрировать злоумышленники, включая сгенерированные алгоритмом, оформила на себя FireEye. Эксперты насчитали около 265 тыс. «осиротевших» ботов, каждый из которых, по свидетельству M86 Security, способен рассылать до 15 тыс. сообщений в сутки. Как долго будет продолжаться противостояние, покажет время.