Конец IRC-ботнетов близок

Конец IRC-ботнетов близок

Исследовательская команда Team Cymru обнародовала результаты своих последних изысканий, согласно которым количество вредоносных сетей, управляемых через веб-серверы, уже в пять раз превышает число ботнетов, контролируемых при помощи IRC-каналов.



Когда-то каналы IRC были единственным способом рассылки инструкций пораженным компьютерам. Однако появление новых форм и способов управления, более удобных и дружественных для квазихакеров, оказало существенное негативное воздействие на этот метод контроля. Представитель команды Team Cymru Стив Санторелли, бывший детектив Скотленд-Ярда, выразил уверенность в том, что IRC-ботнеты вообще давно бы уже вымерли, если бы не скверно настроенные политики безопасности во многих организациях.


Комментируя это заявление, г-н Санторелли пояснил, что до сих пор существует немало компаний, IT-персонал которых не устанавливает никаких ограничений на трафик через сетевой порт 6667 - хотя этот порт закреплен только за IRC-каналами и ни для чего иного не применяется. Из-за этого инструкции контрольных серверов без труда преодолевают корпоративный брандмауэр и успешно достигают ботнет-клиентов.


"Компьютеры, подключенные к IRC-ботнету, часто вынуждены поддерживать постоянную связь с каналом, в то время как вредоносные сети, работающие через HTTP, не нуждаются в этом. Соответственно, обнаружить инфекцию в первом случае гораздо проще, чем во втором. Ботнет-клиенты IRC-типа вообще довольно примитивны; с ними можно бороться в том числе при помощи черных списков IP-адресов и антивирусного программного обеспечения. Но, в любом случае, не следует пренебрегать этими угрозами, какими бы несущественными они ни казались", - отметил исследователь.


Ботнеты, управляемые через HTTP, более удобны в построении и обслуживании, в то время как обнаружить их активность сложнее; соответственно, нет ничего удивительного в том, что злоумышленники предпочитают именно их - каждые полтора года количество вредоносных сетей этого типа удваивается.


The Register

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В InfoWatch ARMA Industrial Firewall добавили поддержку Alpha.Link

InfoWatch сообщила об обновлении промышленного межсетевого экрана ARMA Industrial Firewall до версии 3.14. В новой версии добавлена поддержка протокола Alpha.Link, используемого в российской платформе для разработки АСУ ТП — «Альфа платформе» от «Атомик Софт».

Этот протокол используется в SCADA-системах различных отраслей: от добывающей промышленности до энергетики и транспорта.

Кроме того, улучшена работа с протоколом CIP/EthernetIP — теперь можно задавать политики безопасности на уровне адресов переменных.

Это даёт возможность разрешать доступ только к конкретным областям памяти ПЛК и создавать универсальные правила, не привязанные к отдельным командам. Такой подход упрощает настройку правил доступа и повышает гибкость.

Также в версии 3.14 появились следующие нововведения:

  • Поддержка 16 промышленных протоколов с разбором до уровня команд, включая Modbus, DNP3, S7 и другие. Это даёт возможность контролировать действия в сетях АСУ ТП на более глубоком уровне.
  • LACP-агрегация каналов теперь доступна через графический интерфейс — это упростило настройку отказоустойчивых соединений.
  • Статусы IPSec-подключений теперь можно отслеживать через SNMP, а MIB-файл доступен для выгрузки — это упростит интеграцию с системами мониторинга.

Обновление ориентировано на повышение управляемости и расширение совместимости с отечественными промышленными решениями. Поддержка протокола Alpha.Link особенно актуальна для предприятий, использующих «Альфа платформу» в своих АСУ ТП.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru