Нет неуязвимых бот-сетей, говорит адвокат компании Microsoft, уничтожившей
ботнет Ructock, опровергая заявления о том, что другая
бот-сеть "практически
неразрушима".
"Если кто-то говорит, что бот-сеть неуязвима, то, видимо, он не достаточно
креативен юридически или технически", - сказал во вторник Ричард Боскович,
главный адвокат отдела Digital Crime Unit компании Microsoft. "Нет ничего
невозможного. Это довольно высокий стандарт".
Опыт компании Microsoft в удалении
Waledac и
Coreflood в начале 2010
послужил основой для победы над командными серверами ботнета Rustock, говорит
Боскович. Таким образом победа над Rustock в этом году показывает, что любая
бот-сеть может быть уничтожена.
"Сказать, что это невозможно, означает всерьез недооценивать способности
хороших парней", - продолжает Боскович. "Кажется люди все чаще говорят, что
плохие ребята умнее, лучше. Ответ на это только один: нет".
На прошлой неделе "Лаборатория Касперского" назвала бот-сеть TDL-4 "наиболее
изощренной угрозой на сегодняшний день" и заявила, что она практически
неразрушима из-за продвинутого шифрования и использования публичной пиринговой
сети (P2P) в качестве альтернативного канала связи отправления команд
зараженному ПК.
Захват бот-сетей на подобие Waledac, Rustock и Coreflood, полагался на захват
основных серверов оперативного управления и дальнейшее блокирование доступа
зараженных компьютеров бот-сети к альтернативным доменам управления с целью
получения новых указаний. Работая по такому принципу, захват не только
обезглавливает ботнет, но также позволяет исследователям и властям понять его
работу, предотвращая возможность обновления хакерами их вредоносного ПО, или
попытки дать ботам новые директивы. Он также дает пользователям необходимое
время для использования антивируса и очистки системы от заражения.
Главный исследователь компании "Лаборатория Касперского" Роэл Шовенберг
сказал, что использование TDL-4 публичной пиринговой сети (P2P) сделало бот-сеть
невероятно крепким орешком.
"Любая попытка захватить обычные командные сервера может быть эффективно
обойдена группой TDL путем простого обновления списка C&C через сеть P2P", -
заявил Шовенберг на прошлой неделе. "Тот факт, что TDL имеет 2 отдельных канала
для коммуникации делает любую попытку захвата очень-очень сложной".
Боскович не соглашается, напоминая, что февральский захват Waledac в 2010
году успешно подавил командный канал P2P-сети.
"Победа над Waledac стала доказательством того, что мы способны нарушить
P2P-связи ботнета", - объясняет он. "Каждый захват осуществляется по-разному,
каждый по-своему сложен", - продолжает Боскович. "Каждый из них будет разным и в
будущем, но это не означает, что нет способа его осуществления с любой из
бот-сетей".
Алекс Ланштейн, главный инженер FireEye, который работал с Microsoft над
захватом Rustock, говорит, что те отношения, которые Microsoft наладила с
другими компаниями в сфере компьютерной безопасности, с провайдерами
интернет-услуг, с правительственными организациями, такими как министерство
юстиции США, а также соблюдение закона - вот те важные факторы, которые
позволяют осуществить захват любой бот-сети.
"Это благодаря доверительным отношениям, которые создала компания Microsoft.
Именно они привели к победам", - говорит Ланштейн. "И мне кажется, что эта
техника годится против инфраструктуры любого вредоносного ПО в котором
существует какой-либо информационный канал. Это действительно работает".
Среди тех, кто несогласен с Боскович и Ланштейном, не только Шовенберг из
"Лаборатории", но также Джо Стюарт, начальник исследовательского отдела
вредоносного ПО компании Dell SecureWorks и международный эксперт по бот-сетям.
"Я бы не сказал, что она абсолютно неразрушима, но разрушить ее крайне
сложно", - заявляет Стюарт в своем интервью, посвященному TDL-4. "Она очень
хорошо справляется с самозащитой".
Однако SecureWorks также признает достижения Microsoft, говоря, что их
собственная статистика показывает десятикратное уменьшение атак Rustock с марта.
"С середины марта 2011, исследовательская команда CTU (Counter Threat Unit)
Dell SecureWorks обнаружила значительное снижение числа атак, совершенных
Rustock. Мы склонны полагать, что этому мы можем быть всецело обязанными
компании Microsoft", - заявила представительница SecureWorks во вторник.
"Своим захватом Rustock Microsoft создала образец для других компаний", -
полагает Ланштейн. "Несомненно это не последняя бот-сеть, с которой нам придется
иметь дело".
Он отказался назвать следующую, наиболее вероятную цель, опасаясь, что это
может раскрыть карты Microsoft и FireEye.
