SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Spamhaus подытожила улов по ботнетам за 2017 год

11 января 2018 г., четверг, 21:26

В отчете активистов особо отмечены популярность подлога данных при аренде хостинга и рост числа IoT-ботнетов.

В минувшем году некоммерческая организация Spamhaus занесла в черные списки более 9,5 тыс. C&C-серверов ботнетов, поднятых в 1122 разных сетях. Для сравнения: за 2016 год таких записей в базе SBL (Spamhaus Block List), пополняемой активистами, накопилось 7 тысяч.

По данным Spamhaus, 68% центров управления ботами, обнаруженных в 2017 году, были размещены на серверах, взятых в аренду с помощью подложных или краденых данных. Эти так называемые fraudulent sign-up активисты заносят в отдельную базу — BCL (Botnet Controller List). Весь трафик, ассоциированный с IP-адресами из списка BCL, можно смело блокировать на уровне интернет-провайдера или корпоративной сети: легитимные пользователи и сервисы от этого не пострадают. В сравнении с 2016 годом количество BCL-записей в базе Spamhaus увеличилось более чем на 40%.

Исследователи предупреждают: их годовая статистика не учитывает C&C-серверы, размещенные в анонимных сетях вроде Tor. Для таких сервисов Spamhaus рекомендует применять белые списки, блокируя доступ всем, кроме тех, кому эти службы необходимы (по принципу opt-in).

Данные по C&C ботнетов в открытых сетях активисты, как и прежде, систематизировали в разделении по странам, хостинг-провайдерам, TLD-зонам, регистраторам доменов и вредоносным программам, на основе которых построены выявленные бот-сети. Согласно статистике Spamhaus, из стран по количеству командных IP всех обогнали США и Россия.

Новый список хостеров по числу C&C, как и в 2016 году, возглавил крупнейший интернет-провайдер OVH, базирующийся во Франции. В минувшем году в его сетях было обнаружено 402 центра управления ботнетами — немногим больше, чем годом ранее (395). Второе место в этом рейтинге занял Amazon.com (317 против прежних 54), сменивший GoDaddy, который ныне оказался за пределами ведущей двадцатки. В Top 20 также попали три российских компании: питерский хостер TimeWeb.ru, MTW и московский ISPserver.com, существующий на рынке более 20 лет.

Публикуя статитику, Spamhaus не преминула отметить, что большое количество компрометаций в сетях крупных провайдеров неудивительно: они хостят большое количество сайтов и серверов, которые плохо пропатчены или вообще оставлены без присмотра. Предотвратить взлом ресурсов провайдер зачастую не в состоянии, так как они по большей части полностью контролируются операторами. Тем не менее, некоторые интернет-провайдеры и хостеры уже освоили передовые инструменты и технологии, позволяющие отслеживать уязвимости и мониторить C&C-трафик. Отсутствие таких средств помогают компенсировать блоклисты Spamhaus.

Исследователи также отметили случаи неправильной реакции хостеров на нотификации о злоупотреблениях. Некоторые владельцы хостинга попросту удаляют вредоносные файлы с сайта, не выявляя и не устраняя первопричину заражения. В результате контроллер ботнета вновь появляется в том же месте, иногда по нескольку раз подряд. К сожалению, рейтинги Spamhaus не отражают сроки активности C&C в сетях и скорость реакции провайдеров на уведомления об абьюзах.

Бороться с мошенничеством (fraudulent sign-up) в больших сетях и на облачных сервисах тоже нелегко, тем более что такая практика в криминальных кругах, по данным Spamhaus, набирает обороты. В итоге количество BCL-записей в базе активистов растет. В минувшем году список провайдеров, услугами которых ботоводы воспользовались путем обмана, возглавил Amazon — число мошеннически поднятых C&C в его сетях возросло с 36 до 303. Второе место по этому показателю занял OVH (281 против 295 в 2016 году). Из российских провайдеров в Top 20 по BCL-записям вошел лишь MTW, а более крупный ISPserver, похоже, за год решил проблему с абьюзами и выбыл из ведущей двадцатки.

Поскольку для хостинга C&C ботоводы обычно специально регистрируют домены, да еще часто используют DGA, в своих годовых отчетах Spamhaus приводит также статистику, основанную на результатах анализа DBL-записей (Domain Block List). В 2017 году Spamhaus занесла в базу DBL около 50 тыс. доменных имен, ассоциированных с центрами управления ботнетами. Исследователи подчеркивают, что в этот список не входят угнанные домены и поддомены, оформленные через специализированные бесплатные сервисы.

Рейтинг TLD-доменов по количеству злонамеренных регистраций, как и следовало ожидать, возглавила обширная зона COM (14218), за которой следует PW (6567) — бывший домен государства Палау, а ныне родовой домен высшего уровня, трактуемый как Professional Web — «веб для профессионалов». Восьмую строку этого непочетного списка занял RU, обогнавший все прочие региональные домены по числу имен (1370), специально зарегистрированных для размещения C&C.

Чаще всего (более чем в четверти случаев) ботоводы обращались к услугам американского регистратора Namecheap (11878 доменных имен). Как и в случае с интернет-провайдерами, в ведущую двадцатку регистраторов попали, в основном, крупные компании вроде американской ENom, китайских Alibaba и Xin Net, российских R01 и RegRU. К счастью, вредоносные домены, зарегистрированные у крупных и ответственных специалистов своего дела, долго не живут.

В разделении по вредоносным программам наибольшее количество C&C, выявленных в прошлом году, вновь пришлось на даунлоудер Pony (1013 против 602), умеющий также воровать учетные данные. На вторую ступень с третьей поднялись IoT-зловреды, показатель которых за год вырос с 393 до 943. Восемь позиций в ведущей двадцатке занимают банковские троянцы — Chthonic, Gozi, TrickBot, Dridex, ZeuS Panda и проч. Сам ZeuS при этом, как отметили исследователи, впервые за последние годы оказался за пределами Top 20. Из вымогателей-шифровальщиков в новом списке числится лишь Cerber.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.073
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.