Уничтожен крупный Ботнет
Специалистам компании FireEye несколько дней назад удалось уничтожить
ботнет Mega-D, известный также как Ozdok. Ботнетчикам не помогли
защитные меры, предпринятые после прошлогоднего закрытия провайдера
McColo. Представитель FireEye Атиф Муштак пояснил, что Ozdok был
уничтожен в течение суток. Для этого компании пришлось сотрудничать с
провайдерами и доменными регистраторами, что привело к блокировке
IP-адресов и закрытию доменов, связанных с контролирующими центрами
ботнета. Однако, часть контролирующих центров пока продолжают
функционировать.
Владельцы Ozdok предприняли некоторые меры на случай подобных
действий. В частности, зомби-компьютеры пытаются связываться с
несколькими десятками доменных имён для получения инструкций по
рассылке спама. Более 25 из этих доменов ещё не были зарегистрированы,
чем и воспользовались сотрудники FireEye, не пожалевшие средств на их
регистрацию на себя.
Тем не менее у создателей Ozdok имеется и запасной план. Ежедневно
боты генерируют одно доменное имя, с которым пытаются связаться в
случае, если все прочие домены не отзываются. Специалисты FireEye, зная
алгоритм генерации этих имен, зарегистрировали соответствующие домены
на некоторое количество дней вперёд.
Таким образом боты Ozdok в настоящее время пытаются связываться с
сервером, который контролируется FireEye. Это, в частности, позволяет
грубо оценить размеры ботнета: за одни сутки было насчитано более 260
тысяч уникальных IP-адресов, откуда поступали запросы к перехваченному
контролирующему центру.
В M86 Security Labs, занимающейся мониторингом активности ботнетов, говорят, что уровень спама, генерирующегося сетью Ozdok, резко снизился примерно 6 ноября и вчера упал до нуля.
Стоит отметить, что еще в начале прошлого года Mega-D/Ozdok был
самым крупным генератором спама, будучи ответственным примерно за треть
почтового мусора в мире. С тех пор этот ботнет получил ряд серьезных
ударов со стороны киберзащитников.
В середине февраля 2008 года были заблокированы его управляющие
компьютеры, однако через десять дней злоумышленники сумели вернуть
контроль над этой зомби-сетью. В октябре 2008 года Федеральная торговая
комиссия (FTC) убедила суд заморозить активы группы HerbalKing,
контролирующей сеть Mega-D.
Через месяц был закрыт калифорнийский хостинг-провайдер McColo, чьи
серверы активно использовались спамерами — в том числе и владельцами
Mega-D/Ozdok. Летом этого года, когда Mega-D уже давно утратил былую
мощь, генерируя лишь около 12% общемирового спама, по ботнету был
нанесен новый удар: FTC закрыла ещё одного хостинг-провайдера — 3FN.
После этого активность Mega-D/Ozdok снизилась примерно втрое и
держалась на этом уровне вплоть до недавнего времени, когда
специалисты FireEye решили полностью уничтожить ботнет.
|