Microsoft случайно захватила около 1000 чужих доменов

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 13 июн 2013.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    На прошлой неделе Microsoft и ФБР объявили о выведении из строя более 1000 ботнетов Citadel (по некоторым данным, более 1400). Но сейчас выясняется, что «Операция b54» прошла не так удачно, как предполагалось.

    Суть операции Microsoft заключалась в том, чтобы изъять 4000 доменных имен, которые использовались ботнетами Citadel, и перенаправить их на свой собственный C&C-сервер. Технически, это называется перехватом управления или синкхолингом (sinkholing).

    Синкхолинг не представляет собой ничего инновационного: эта техника используется уже давно. В частности, ее применяли для захвата ботнета Conficker в 2009 году. Синкхолинг обычно используют для сбора информации об инфицированных компьютерах и сообщения информации владельцам пораженных сетей.

    В наши дни в интернете полно sinkhole-серверов, большинство из них принадлежат разным исследователям, хотя есть и коммерческие — для продажи информации клиентам. Один из самых известных специалистов по синкхолингу — швейцарский исследователь, которому принадлежит сайт Abuse.ch и известный трекер ботнетов: ботнеты ZeuS, ботнеты SpyEye, ботнеты Palevo. Именно этого исследователя нечаянно обидела корпорация Microsoft во время своей последней операции.

    Он уже много лет держит sinkhole-серверы и отправляет собранную информацию в некоммерческую организацию Shadowserver, которая уведомляет владельцев зараженных систем. Каждая компания, национальный CERT или провайдер может подписаться в Shadowserver на бесплатный фид с уведомлениями о своей сети. Сейчас на них подписаны более 1500 компаний и 60 национальных CERT.

    Так вот, 7 июня с sinkhole-сервера Abuse.ch неожиданно исчезло более 300 доменов. Владелец начал искать пропажу — и выяснил, что все они теперь ссылаются на сервер в корпоративном сегменте Microsoft (199.2.137.0/24). Очевидно, в результате своей операции Microsoft изъяла не только домены с реальными управляющими серверами, но и домены сторонних исследователей.

    Самое грустное, что таким же бесцеремонным образом Microsoft поступила и в прошлом году, во время операции против ботнетов ZeuS: тогда тоже Abuse.ch лишился нескольких сотен доменов.

    Чтобы избежать повторения ситуации, владелец Abuse.ch тогда объявил о запуске непубличного реестра Sinkhole Registry для правоохранительных органов или компаний, которые собираются в будущем проводить операции против ботнетов. Но это не помогло: Microsoft не запрашивало информацию из этого реестра.

    Пострадал не только Abuse.ch, но и несколько десятков других операторов sinkhole-серверов. У некоторых из них потери тоже достигают нескольких сотен доменов. В общей сложности, по приблизительной оценке, около 1000 из примерно 4000 доменов, изъятых компанией Microsoft во время операции против Citadel, — это sinkhole-серверы, принадлежавшие исследователям.

    И это только вершина айсберга. Кроме захвата чужих ботов, Microsoft еще и рассылает со своего C&C-сервера конфигурационные файлы Citadel, чтобы заблокировать переход ботов в будущем на другие управляющие серверы, кроме Microsoft. По общему мнению операторов sinkhole-серверов, компания Microsoft нарушает уголовный кодекс, несанкционированно проникая в чужие компьютеры и меняя настройки ботов.



    источник
     
    4 пользователям это понравилось.

Поделиться этой страницей