Исследовательская команда Team Cymru обнародовала результаты своих последних
изысканий, согласно которым количество вредоносных сетей, управляемых через
веб-серверы, уже в пять раз превышает число ботнетов, контролируемых при помощи
IRC-каналов.
Когда-то каналы IRC были единственным способом рассылки инструкций пораженным
компьютерам. Однако появление новых форм и способов управления, более удобных и
дружественных для квазихакеров, оказало существенное негативное воздействие на
этот метод контроля. Представитель команды Team Cymru Стив Санторелли, бывший
детектив Скотленд-Ярда, выразил уверенность в том, что IRC-ботнеты вообще давно
бы уже вымерли, если бы не скверно настроенные политики безопасности во многих
организациях.
Комментируя это заявление, г-н Санторелли пояснил, что до сих пор существует
немало компаний, IT-персонал которых не устанавливает никаких ограничений на
трафик через сетевой порт 6667 - хотя этот порт закреплен только за IRC-каналами
и ни для чего иного не применяется. Из-за этого инструкции контрольных серверов
без труда преодолевают корпоративный брандмауэр и успешно достигают
ботнет-клиентов.
"Компьютеры, подключенные к IRC-ботнету, часто вынуждены поддерживать
постоянную связь с каналом, в то время как вредоносные сети, работающие через
HTTP, не нуждаются в этом. Соответственно, обнаружить инфекцию в первом случае
гораздо проще, чем во втором. Ботнет-клиенты IRC-типа вообще довольно
примитивны; с ними можно бороться в том числе при помощи черных списков
IP-адресов и антивирусного программного обеспечения. Но, в любом случае, не
следует пренебрегать этими угрозами, какими бы несущественными они ни казались",
- отметил исследователь.
Ботнеты, управляемые через HTTP, более удобны в построении и обслуживании, в
то время как обнаружить их активность сложнее; соответственно, нет ничего
удивительного в том, что злоумышленники предпочитают именно их - каждые полтора
года количество вредоносных сетей этого типа удваивается.
