Архив

Зомби прячутся в сети

Кибермошенники меняют тактику управления ботнетами, отказываясь от IRC-сервиса и переходя на веб-каналы.

Зомби-машины, сгруппированные в ботнеты, используются злоумышленниками для проведения спамерских рассылок и фишерских атак; на их базе создаются поддельные веб-сайты с вредоносными кодами, собирающими личные данные пользователей Интернета. Скомпрометированные компьютеры обычно подключаются к IRC-серверу и соответствующему каналу и ждут команды; управление ими ведется в реальном времени, команды поступают в режиме чат-трафика.

С подобной практикой специалисты в области компьютерной безопасности уже ведут успешную борьбу. Протокол IRC имеет свои особенности, и современные защитные средства, имитируя бот, позволяют легко отслеживать и блокировать его трафик. Кроме того, сами хакеры общаются друг с другом в чатах, что дает возможность экспертам по безопасности следить за ними и даже идентифицировать их по IP-адресу при заходе на IRC-сервер. За последний год с помощью подобной практики были выявлены и переданы в руки правосудия несколько владельцев ботнетов.

Стремясь остаться в тени, злоумышленники совершенствуют методы управления ботнетами, перенося всю инфраструктуру в гипертекстовое пространство, где ее будет труднее отследить и тем более заблокировать. Новоиспеченные боты будут подключаться к веб-сайтам, созданным на базе взломанных серверов и прокси коммерческих и корпоративных сетей. Во всемирной паутине зомби затеряются, как иголка в стоге сена, а управляющий ими трафик будет скрыт от сетевых администраторов, слившись с общим веб-потоком.

Чтобы выработать новые решения для защиты от ботнетов с новым стилем управления, специалистам по безопасности придется осваивать команды и механизмы передачи данных, которые используются для управления ботнетами в новом пространстве. Заблокировать весь внешний веб-трафик нереально, но можно выявить и отсечь веб-адреса, используемые вредоносными кодами. Интернет-провайдеры и веб-сервисы уже собирают подобную статистику и принимают меры к пресечению деятельности противозаконных веб-сайтов. В недалеком будущем их статистику можно будет объединить в списки запрещенных. Использование «ловушек» помогает перехватить и исследовать вредоносные коды, а замаскированные под командный сервер «ловушки» дают возможность мониторинга деятельности злоумышленников и их идентификации при заходе на сервер. Безусловно, слежение за веб-трафиком и изучение его образцов со следами активности ботов потребует дополнительных капиталовложений в инфраструктуру компьютерной безопасности.

По данным исследовательской фирмы в области сетевой безопасности Arbor Networks, в настоящее время управлением через веб-каналы пользуется небольшое число ботнетов — менее одного процента. Однако по мере совершенствования технологий сетевого андеграунда этот процент может вырасти до угрожающих размеров.

Источник: CNET News.com

Зомби прячутся в сети

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике