Перейти к содержанию

Microsoft: неразрушимых ботнетов не бывает


Рекомендуемые сообщения

Нет неуязвимых бот-сетей, говорит адвокат компании Microsoft, уничтожившей ботнет Ructock, опровергая заявления о том, что другая бот-сеть "практически неразрушима".

 

"Если кто-то говорит, что бот-сеть неуязвима, то, видимо, он не достаточно креативен юридически или технически", - сказал во вторник Ричард Боскович, главный адвокат отдела Digital Crime Unit компании Microsoft. "Нет ничего невозможного. Это довольно высокий стандарт".

 

Опыт компании Microsoft в удалении Waledac и Coreflood в начале 2010 послужил основой для победы над командными серверами ботнета Rustock, говорит Боскович. Таким образом победа над Rustock в этом году показывает, что любая бот-сеть может быть уничтожена.

 

"Сказать, что это невозможно, означает всерьез недооценивать способности хороших парней", - продолжает Боскович. "Кажется люди все чаще говорят, что плохие ребята умнее, лучше. Ответ на это только один: нет".

 

На прошлой неделе "Лаборатория Касперского" назвала бот-сеть TDL-4 "наиболее изощренной угрозой на сегодняшний день" и заявила, что она практически неразрушима из-за продвинутого шифрования и использования публичной пиринговой сети (P2P) в качестве альтернативного канала связи отправления команд зараженному ПК.

 

Захват бот-сетей на подобие Waledac, Rustock и Coreflood, полагался на захват основных серверов оперативного управления и дальнейшее блокирование доступа зараженных компьютеров бот-сети к альтернативным доменам управления с целью получения новых указаний. Работая по такому принципу, захват не только обезглавливает ботнет, но также позволяет исследователям и властям понять его работу, предотвращая возможность обновления хакерами их вредоносного ПО, или попытки дать ботам новые директивы. Он также дает пользователям необходимое время для использования антивируса и очистки системы от заражения.

 

Главный исследователь компании "Лаборатория Касперского" Роэл Шовенберг сказал, что использование TDL-4 публичной пиринговой сети (P2P) сделало бот-сеть невероятно крепким орешком.

 

"Любая попытка захватить обычные командные сервера может быть эффективно обойдена группой TDL путем простого обновления списка C&C через сеть P2P", - заявил Шовенберг на прошлой неделе. "Тот факт, что TDL имеет 2 отдельных канала для коммуникации делает любую попытку захвата очень-очень сложной".

 

Боскович не соглашается, напоминая, что февральский захват Waledac в 2010 году успешно подавил командный канал P2P-сети.

 

"Победа над Waledac стала доказательством того, что мы способны нарушить P2P-связи ботнета", - объясняет он. "Каждый захват осуществляется по-разному, каждый по-своему сложен", - продолжает Боскович. "Каждый из них будет разным и в будущем, но это не означает, что нет способа его осуществления с любой из бот-сетей".

 

Алекс Ланштейн, главный инженер FireEye, который работал с Microsoft над захватом Rustock, говорит, что те отношения, которые Microsoft наладила с другими компаниями в сфере компьютерной безопасности, с провайдерами интернет-услуг, с правительственными организациями, такими как министерство юстиции США, а также соблюдение закона - вот те важные факторы, которые позволяют осуществить захват любой бот-сети.

 

"Это благодаря доверительным отношениям, которые создала компания Microsoft. Именно они привели к победам", - говорит Ланштейн. "И мне кажется, что эта техника годится против инфраструктуры любого вредоносного ПО в котором существует какой-либо информационный канал. Это действительно работает".

 

Среди тех, кто несогласен с Боскович и Ланштейном, не только Шовенберг из "Лаборатории", но также Джо Стюарт, начальник исследовательского отдела вредоносного ПО компании Dell SecureWorks и международный эксперт по бот-сетям.

 

"Я бы не сказал, что она абсолютно неразрушима, но разрушить ее крайне сложно", - заявляет Стюарт в своем интервью, посвященному TDL-4. "Она очень хорошо справляется с самозащитой".

 

Однако SecureWorks также признает достижения Microsoft, говоря, что их собственная статистика показывает десятикратное уменьшение атак Rustock с марта.

 

"С середины марта 2011, исследовательская команда CTU (Counter Threat Unit) Dell SecureWorks обнаружила значительное снижение числа атак, совершенных Rustock. Мы склонны полагать, что этому мы можем быть всецело обязанными компании Microsoft", - заявила представительница SecureWorks во вторник.

 

"Своим захватом Rustock Microsoft создала образец для других компаний", - полагает Ланштейн. "Несомненно это не последняя бот-сеть, с которой нам придется иметь дело".

 

Он отказался назвать следующую, наиболее вероятную цель, опасаясь, что это может раскрыть карты Microsoft и FireEye. xakep.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Marc Aleman
      От Marc Aleman
      Пять дней назад в сфере кибербезопасности стало популярным сообщение, которое затрагивает тему вредоносного ПО.
       
      Вредоносное ПО Microsoft Blocked удаляет оригинальную учетную запись Windows и заменяет ее на учетную запись под названием "Microsoft Blocked", не позволяя получить доступ к системе без пароля киберпреступников. Как правило, компьютеры заражаются через вредоносные ссылки в электронных письмах или загруженные файлы, особенно пиратские программы. Злоумышленники требуют выкуп, обычно в криптовалюте, в обмен на пароль. Восстановление системы — сложный процесс, требующий специальных инструментов. Лучшая защита — это избегать подозрительных ссылок, использовать двухфакторную аутентификацию и регулярно обновляемый антивирус.
       
      Видели ли вы какую-либо информацию, связанную с этим инцидентом, и могут ли продукты Kaspersky обнаруживать это вредоносное ПО?

    • mike 1
      От mike 1
      В свете недавних инцидентов безопасности, связанных с вирусом Flame, корпорация Microsoft усиливает защиту своих продуктов и добавляет в Untrusted Certificate Store 28 новых сертификатов безопасности.
      Американский софтверный гигант реализует стратегию «глубокой защиты», в рамках которой меняется принцип управления сертификатами, которые подписываются RSA ключом, состоящим из 1024 бит, или менее. Начиная со следующего месяца сертификаты, использующие RSA алгоритмы с коротким ключом, будут считаться недействительными даже в том случае, если их подписывал центр сертификации.
      В Microsoft также запустили автоматическую систему обновлений для недоверенных сертификатов в Windows Vista и Windows 7, а также для Windows Server 2008 и 2008 R2. Данная функция предоставляет пользователям Windows информацию о недействительных сертификатах.
       
      Читать далее
    • Sir_strelok
      От Sir_strelok
      Такая проблема скачивал игру и скачал троян помогите пожалуйста срочно!!!
    • KL FC Bot
      От KL FC Bot
      В мае 2024 года Microsoft представила новую функцию для Windows 11 под названием Recall. Она позволяет «вспоминать» все, что делал пользователь на компьютере за последние месяцы. Можно задавать в поисковой строке самые общие вопросы вроде «фото красного авто, которое мне присылали» или «какой корейский ресторан советовали» — и получать ответы в виде ссылок на приложение, сайт, документ в паре с картинкой-миниатюрой, на которой запечатлен… экран компьютера в момент, когда пользователь смотрел на предмет запроса!
      Recall позволяет вспомнить все, что вы делали за компьютером в последние месяцы. Возможно, даже то, что вы предпочли бы не вспоминать. Источник
      Чтобы реализовать чудо-поиск, новый сервис Microsoft будет делать скриншоты всего экрана каждые несколько секунд и сохранять их в папке на компьютере. Затем все эти изображения анализируются искусственным интеллектом в фоновом режиме, из скриншотов извлекается вся информация и помещается в базу данных, по которой при помощи ИИ-ассистента ведется умный поиск.
      Несмотря на то что все операции проводятся локально, на компьютере пользователя, Recall сразу после анонса вызвал тревогу у многих специалистов по информационной безопасности — эта функция создает слишком много рисков. Начальная реализация Recall была практически не зашифрована и доступна любому пользователю компьютера. Под давлением ИБ-сообщества Microsoft объявила о внесении доработок в Recall еще до выпуска публичной версии, который отложили с 18 июня ориентировочно до конца осени 2024 года. Тем не менее даже с обещанными улучшениями функция остается неоднозначной.
       
      Посмотреть статью полностью
    • tintin
      От tintin
      Постоянно вылетает сообщение Microsoft Internet Explorer: выключен защищенный режим. Нажимаю исправить, через 20 секунд опять вылетает. Полное сканирование ничего не находит. 
      Подскажите как быть.
      Спасибо.
       
       

      CollectionLog-2024.05.23-13.06.zip
×
×
  • Создать...