Никогда не задумывался над тем, что происходит с ботами если контролирующий
их домен отключается? Shadowserver Foundation, добровольная организация,
занимающаяся исследованием темных глубин Интернет, начала работы по созданию
сервера-"воронки", который, выдавая себя за такие бездействующие контроллеры
домена, будет выяснять, что же они после себя оставили.
По словам эксперта Shadowserver Стивена Адаира, представившего эту идею на
конференции по безопасности OWASP USA, проект, который пока находится в ранней
стадии разработки, позволит компании эмулировать IRC и HTTP трафик ботнетов с
тем, чтобы лучше изучить их и выявить машины, которые все еще заражены.
"Существует множество машин, которые все еще взаимодействуют с ныне покойными
серверами. Мы надеемся начать их выявлять и предупреждать о существующих угрозах
компании, в чьей собственности они находятся" – говорит он. Адаир надеется, что
им удастся создать сервер, способный принимать входящий трафик от инфицированных
машин, когда они в очередной раз попытаются связаться с контролирующими ботнеты
серверами. Это позволит определять, какие именно сайты и интернет-страницы
заражены. Также это даст возможность компаниям, подозревающим у себя наличие
бот-сети, направлять трафик на этот сервер для последующего анализа.
