Провал для ботнетов

Microsoft недавно создала новую категорию «провала» (англ. Sinkhole – провал в земле, выгребная яма) для доменно-ориентированного ботнета, происходящего из Китая. Т.е, кто знает значение слова «провал» из уроков географии, вспомнят, что это внезапное опускание местности из-за разрушения подстилающей структуры. Чтобы объяснить это более лаконично, «провал» — это большая дыра в земле, которой не было раньше.

Локализация вредоносной сети

Когда дело доходит до сетевых структур, «провал» функционирует как центр по сбору конкретных передач по сети. Критерии могут быть разными, но смысл в том, что всё, что входит в сетевое устройство, настроенное как «провал», исчезает. Или, как в случае с Microsoft, критерии могут быть более конкретными и позволяют некоторый трафик через «провал», одновременно удаляя другие виды трафика.

С помощью калифорнийской компании Nominum, Microsoft организовала селективную блокировку трафика к и от 3322. org домена под кодовым названием b70. Хотя статистика не была объявлена, Microsoft говорит, что этот ботнет был самым большим, с которым компании когда-либо приходилось иметь дело.

Причиной действий Microsoft, было открытие вредоносного заражения новой копии операционной системы MS Windows предустановленной на машины, которые даже ещё не были проданы. Если непроданные машины никогда не были подключены к Интернету, то кто-то должен был заразить программное обеспечение до или в момент установки ОС. В конце концов, эти люди будут обнаружены. Но, на данный момент, Microsoft довольствуется тем, что блокирует сигнал отправленный из этих зараженных машин к командно-контрольным серверам ботнета Nitol.

Такая блокировка может быть сделана на машиной основе, но вместо этого Microsoft использует свои собственные доменные серверы, чтобы заблокировать доступ к этим вредоносным командно-контрольным серверам. Для того чтобы сделать это, Microsoft вынуждена была обратиться в федеральный суд Вирджинии с просьбой о передаче данных о владельцах ботнетных доменов к Microsoft. В судебных документах Microsoft заявила, что 3322.org домен был центром незаконной деятельности в Интернете. Суд удовлетворил просьбу.

В марте прошлого года Microsoft создала аналогичный «провал», поглотивший весь трафик, связанный с Zeus toolkit. Тем не менее, 3322. org домен содержит несколько миллионов суб-доменов, только 70 000 из которых были на самом деле причастны к незаконной деятельности. Microsoft пообещала в суде, что только трафик к и от незаконных поддоменов будет заблокирован, и что трафик от других, непричастных поддоменов не пострадает. Тем не менее, учитывая динамичный характер деятельности ботнета, Microsoft должна поддерживать постоянный мониторинг этого различия.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *