Зомби-сети - инфраструктура киберпреступлений, борьба с зомби, antizombie

Серебряная пуля Интернет

Серебряная пуля Интернет

Зомби-сети - самое большое зло в современном Интернете. С помощью зомби-сетей совершаются наиболее масштабные компьютерные преступления. Такие сети состоят из огромного количества компьютеров, зараженных специальным троянцем и управляемых из центра их владельцем. Они используются для распространения спама, заражения других компьютеров троянскими программами, сбора конфиденциальной информации и других преступных целей.

Фактически, зомби-сети являются инфраструктурой современных киберпреступлений, наложенной на Интернет. Противопоставить зомби-сетям очень сложно, однако недавно были проведены эксперименты по борьбе с несколькими зомби-сетями.

Уязвимым местом зомби-сети является ее командный центр, при выводе которого из строя вся сеть перестает работать как единое целое и со временем разваливается. До недавнего времени центры управления зомби располагались на так называемых непотопляемых или абузоустойчивых хостингах, которые умели защищать своих клиентов, в том числе и от правоохранительных органов. Именно в сетях таких провайдеров и скапливалось больше всего центров управления зомби и распространения вредоносного программного обеспечения, однако в прошлом году правоохранительные органы научились закрывать подобные хостинговые компании - некоторые из них были закрыты как в России, так и зарубежом. В частности, проведенная через ОДКБ операция российского Управления "К" под названием "Прокси" позволила закрыть некоторую часть подобных провайдеров, однако война не закончилась.

Симметричный удар нанесла и империя Microsoft, которая организовала специальный альянс для борьбы с зомби сетями, в рамках которого выполнялся сбор сведений о деятельности различных зомби-сетей и прекращения их деятельности. В рамках альянса разрабатывались юридические основная для временного блокирования деятельности некоторых доменов, которые оказались запятнаны вредоносными программами. В январе 2010 года этот альянс провел операцию по прекращению деятельности одной из крупных зомби-сетей, созданных троянцем Waledac. Домены удалось заблокировать и сеть вышла из-под контроля владельцев и фактически перестала функционировать.

Следующий раунд борьбы произошел в середине марта, когда два российских провайдера разорвали отношение с казахским провайдером "Трояк". Последний обеспечивал подключение к Интернет нескольких других провайдеров из Приднестровья, Украины и Казахстана, в адресных пространствах которых располагалось достаточно много управляющих серверов еще одной крупной зомби-сети, построенной троянцем Zeus. В результате, по данным проекта ZeuS Tracker от сети были отключены около сотни контрольных центров этой зомби-сети. Хотя через некоторое время "Трояк" нашел себе других канальных провайдеров, однако контрольных центров в его адресном пространстве было уже меньше.

Через неделю после отключения "Трояка" был заблокирован еще один "ядовитый" провайдер "Вертикаль Групп", который зарегистрирован в Санкт-Петербурге. В его сети было обнаружено также достаточно много центров управления Zeus. Однако самое интересное произошло с провайдеров, который по "ядовитости" был на третьем месте - "ГазТранзитСтройИнфо". После блокирования "Трояка" и "Вертикали", количество управляющих центров в его адресном пространстве сильно сократилось: всего за несколько дней количество их сократилось с 88 до 16. И хотя он по прежнему остается в десятке наиболее вредоносных, провайдеров России, однако явно видна тенденция к самоочищению. Сокращение количества центров усправления сетью Zeus можно видеть на рисунке, опубликованном проектом ZeuS Tracker.

 

График ZeuS Tracker

 

На нем также видно, что зомби-сеть вначале пыталась вернуть свои позиции, однако уже через два месяца количество управляющих серверов сократилось в несколько раз.

Хотя роль государства в описанных выше конфликтах очевидна, однако оно не могло бы эффективно бороться с зомби без поддержки общественных и некоммерческих организаций, а также сетевых проектов, типа ZeuS Tracker, Malware Domain List (MDL) или Malware URL. Эти проекты контролируют вредоносные коды, распространяемые зомби-сетями. База данных этих проектов регулярно пополняется, что позволяет определить "ядовитость" тех или иных провадеров. Эти проекты дают провайдерам возможность блокировать вредоносные адреса и не давать зомби доступа к управляющему серверу. Часто после этого зомби проявляет себя и вычищается антивирусной программой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru