В новостях о захвате и блокировании ботнетов часто упоминается синкхолинг — это основной метод, которым удаётся проникнуть «внутрь» ботнета и изучить его. Метод основан на регистрации собственного домена по алгоритму, который описан в коде трояна (бота) — и подождать, когда боты сами начнут подключаться к новому управляющему серверу. Этот C&C-сервер уже принадлежит не злоумышленникам, а исследователям из антивирусной компании.
Именно такой эксперимент провели специалисты из компании Damballa. Они опубликовали краткий отчёт о результатах своего исследования.
Специалисты Damballa исследовали один из новых ботнетов, который использует алгоритм генерации доменов (domain generation algorithms, DGA) для установки новых C&C-серверов. К сожалению, они не называют название ботнета, может быть, просто не посчитали нужным давать ему название.
После регистрации нескольких доменов трафик перенаправили на точку синкхолинга Georgia Tech Information Security Center (GTISC). Исследование продолжалось несколько недель.
К своему удивлению, специалисты обнаружили, что огромное количество ботов пытаются подключиться к их доменам. Речь идёт о десятках тысяч C&C-запросов. Исследователи делают вывод, что им попался чрезвычайно крупный ботнет, который может состоять из сотен тысяч машин. Информацию уже передали правоохранительным органам, а в ближайшее время будут опубликованы полные результаты исследования. Сейчас авторы работы поделились некоторыми наблюдениями.
1. Почти все существующие технологии антивирусной защиты полностью слепы на уровне DNS, то есть не идентифицируют никакого вредоносного трафика в DNS-запросах.
2. Когда исследователи покупали домен, некоторые системы безопасности всё-таки проснулись, потому что IP-адрес GTISC очень хорошо известен в сообществе специалистов по безопасности и внесён во многие чёрные списки. Поэтому многие операторы начали сканировать сервер на предмет вредоносного ПО.
3. Поскольку многие инфицированные компьютеры смогли установить соединение с IP-адресом из чёрного списка, исследователи смогли сделать вывод, в каких организациях и у каких провайдеров установлены соответствующие системы защиты и как быстро они реагируют.
Полные результаты исследования этого большого ботнета вскоре будут опубликованы.