Кибермошенники меняют тактику управления ботнетами, отказываясь от IRC-сервиса и переходя на веб-каналы.
Зомби-машины, сгруппированные в ботнеты, используются злоумышленниками для проведения спамерских рассылок и фишерских атак; на их базе создаются поддельные веб-сайты с вредоносными кодами, собирающими личные данные пользователей Интернета. Скомпрометированные компьютеры обычно подключаются к IRC-серверу и соответствующему каналу и ждут команды; управление ими ведется в реальном времени, команды поступают в режиме чат-трафика.
С подобной практикой специалисты в области компьютерной безопасности уже ведут успешную борьбу. Протокол IRC имеет свои особенности, и современные защитные средства, имитируя бот, позволяют легко отслеживать и блокировать его трафик. Кроме того, сами хакеры общаются друг с другом в чатах, что дает возможность экспертам по безопасности следить за ними и даже идентифицировать их по IP-адресу при заходе на IRC-сервер. За последний год с помощью подобной практики были выявлены и переданы в руки правосудия несколько владельцев ботнетов.
Стремясь остаться в тени, злоумышленники совершенствуют методы управления ботнетами, перенося всю инфраструктуру в гипертекстовое пространство, где ее будет труднее отследить и тем более заблокировать. Новоиспеченные боты будут подключаться к веб-сайтам, созданным на базе взломанных серверов и прокси коммерческих и корпоративных сетей. Во всемирной паутине зомби затеряются, как иголка в стоге сена, а управляющий ими трафик будет скрыт от сетевых администраторов, слившись с общим веб-потоком.
Чтобы выработать новые решения для защиты от ботнетов с новым стилем управления, специалистам по безопасности придется осваивать команды и механизмы передачи данных, которые используются для управления ботнетами в новом пространстве. Заблокировать весь внешний веб-трафик нереально, но можно выявить и отсечь веб-адреса, используемые вредоносными кодами. Интернет-провайдеры и веб-сервисы уже собирают подобную статистику и принимают меры к пресечению деятельности противозаконных веб-сайтов. В недалеком будущем их статистику можно будет объединить в списки запрещенных. Использование «ловушек» помогает перехватить и исследовать вредоносные коды, а замаскированные под командный сервер «ловушки» дают возможность мониторинга деятельности злоумышленников и их идентификации при заходе на сервер. Безусловно, слежение за веб-трафиком и изучение его образцов со следами активности ботов потребует дополнительных капиталовложений в инфраструктуру компьютерной безопасности.
По данным исследовательской фирмы в области сетевой безопасности Arbor Networks, в настоящее время управлением через веб-каналы пользуется небольшое число ботнетов — менее одного процента. Однако по мере совершенствования технологий сетевого андеграунда этот процент может вырасти до угрожающих размеров.
Источник: CNET News.com
Зомби прячутся в сети