Правительство США и NIST призвали Интернет-провайдеров бороться с ботнетами

Правительство США и NIST призвали Интернет-провайдеров бороться с ботнетами

Совместная инициатива министерства внутренних дел, Национального управления по делам телекоммуникаций и информации и Национального института стандартизации и технологий нацелена на противодействие формированию и функционированию вредоносных сетей. Поставщиков услуг Интернета приглашают к участию в программе по проактивному обнаружению активности бот-клиентов на компьютерах пользователей и информированию последних о наличии инфекций.


Соответствующее предложение было опубликовано в правительственном издании The Federal Register в конце минувшей недели; авторы документа ожидают поступления отзывов, замечаний и рекомендаций от общественности вплоть до первых чисел ноября. Предполагается, что в рамках долгосрочной кампании провайдеры будут выявлять характерные признаки вредоносного программного обеспечения для управления зомби-машинами и оперативно сообщать клиентам о необходимости дезинфекции; участие в программе планируют сделать добровольным.

В настоящее время потребность в комментариях по проекту действительно существует, поскольку он представляет собой скорее рамочный документ с декларацией благих намерений, нежели детально проработанное предложение, учитывающее все возможные аспекты проблемы. Например, в нем не сказано ни слова о том, чьей именно задачей будет уничтожение бот-клиентов на компьютерах пользователей - станет ли заниматься этим служба технической поддержки самого же провайдера, или какой-то особый антивирусный сервис, либо же дезинфекция останется на совести самого владельца зараженной машины. Некоторых специалистов беспокоит и отсутствие условий соблюдения конфиденциальности личных данных - документ не поясняет, имеет ли вообще поставщик услуг Интернета право инспектировать идущий от клиента трафик.

Сама по себе идея "досматривать" данные на предмет признаков инфекции не нова: некоторые провайдеры и разработчики защитных решений уже предлагают такие услуги. Однако вопрос о централизации подобных усилий по борьбе с ботнетами на государственном уровне (в проекте, кстати, озвучено предложение создать единый координационный центр для руководства программой) в США ранее не ставился. Однако образец для подражания у американцев найдется: например, они могут воспользоваться опытом проведения похожей кампании в Австралии. Там в прошлом году была инициирована программа iCode, в которой на данный момент принимают участие порядка тридцати поставщиков услуг Интернета; целью ее также является борьба с вредоносными сетями, и пользователи, компьютеры которых ведут себя подозрительно, при выходе в Сеть перенаправляются на особую веб-страницу с инструкциями по избавлению от бот-клиентов.

eWeek

Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

NonEuclid RAT: троян удаленного доступа и шифровальщик в одном флаконе

В Cyfirma проанализировали образец NonEuclid, рекламируемого в даркнете как RAT, и выяснили, что Windows-троян не только открывает удаленный доступ к зараженным устройствам, но также умеет шифровать файлы.

Рекламу NonEuclid эксперты обнаружили на подпольном форуме в конце ноября. Поиск схожих объявлений показал, что данного зловреда продвигают в таких сообществах, в том числе русскоязычных, как минимум с октября 2021 года, а также активно обсуждают в Discord и на YouTube.

Написанный на C# вредонос вооружен рядом средств защиты от анализа и обнаружения. При запуске он проводит проверки на наличие враждебной среды (ВМ, песочницы) и при наличии таковой немедленно прекращает свое исполнение.

С той же целью троян добавляет свои файлы в исключения Microsoft Defender, а также мониторит запуск процессов (через вызовы Windows API) и прибивает те, которые могут ему помешать — taskmgr.exe, processhacker.exe, procexp.exe и т. п.

Кроме того, NonEuclid умеет обходить Windows-защиту AMSI: отслеживает загрузку модуля amsi.dll и при обнаружении патчит области памяти, связанные с AmsiScanBuffer.

Чтобы обеспечить себе постоянное присутствие, зловред создает запланированные задания и вносит изменения в системный реестр. Он также пытается повысить привилегии посредством выполнения команд и обхода UAC-защиты.

Подключение к C2-серверу осуществляется через TCP-сокет с использованием заданных IP-адреса и порта.

Возможности NonEuclid как шифровальщика ограничены списком расширений, который невелик и включает, в частности, .csv, .txt и .php. Данные шифруются по AES, к именам обработанных файлов добавляется расширение .NonEuclid.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru