MS продолжает бороться с ботнетами

Окружной суд Восточной Виргинии удовлетворил ходатайство Microsoft о захвате контроля над org-доменом, ассоциированным с вредоносной деятельностью. Разрешение выдано на ограниченный срок.

Поводом для подачи ходатайства послужил тот факт, что на домене 3322.org, владельцем которого является китайская компания, размещен командный сервер Nitol ― ботнета, попавшего на радары MS. Проверяя каналы своих поставок на китайский рынок, эксперты сделали контрольные покупки ― и обнаружили боты Nitol, установленные на ПК вместе с контрафактной версией Windows. Зараженными оказались 20% машин, приобретенных ревизорами в Китае. Цепочки поставок имеют больше количество промежуточных звеньев ― логистов, дистрибьюторов, реселлеров. В отсутствие адекватных политик и строгого контроля у субподрядчиков зловред мог быть внедрен на любом из этих этапов.

Исследование Nitol как угрозы, проведенное Microsoft под кодовым названием «операция b70», показало, что центр управления ботнетом размещен в доменной зоне 3322.org, давно известной как пристанище киберкриминала. Помимо Nitol, наделенного DDoS-функционалом, эксперты обнаружили в этом пространстве еще 500 разных зловредов, обосновавшихся на 70 тыс. поддоменов. Домен 3322.org зарегистрирован на китайскую компанию и используется под бесплатный сервис динамических DNS (DDNS). Такие услуги очень популярны у организаторов кибератак, так как они позволяют им держать плацдармы на плаву, быстро меняя информацию на DNS-сервере.

Согласно судебному приказу, оператор реестра домена ORG, базирующийся в США, будет перенаправлять на серверы Microsoft. Это позволит последней блокировать запросы Nitol и других зловредов, сохраняя рабочий режим на «чистых» поддоменах. Фильтровать новый DNS-трафик Microsoft помогают коллеги из Nominum, security-компании, которая тоже выступает в роли истца. Исковые претензии к владельцу 3322.org и его фирме остаются в силе, и эксперты надеются, что виргинский суд со временем наложит постоянный запрет на противоправное использование этого домена, а ответчикам придется раскошелиться.

К сожалению, захват домена 3322.org не остановит ботоводов. Как справедливо отмечают борцы с ботнетами из Damballa, операторы этих орудий обычно ставят свои C&C домены на обслуживание у разных DNS-провайдеров. Тот же Nitol, по сути небольшой и не очень активный ботнет, использует множество доменных имен, распределенных между несколькими DDNS-сервисами. И таких клиентов у 3322.org около 70, а их командная инфраструктура, по данным Damballa, охватывает свыше 400 поддоменов в этой зоне.