ИБ-специалисты уничтожили крупный ботнет

ИБ-специалисты уничтожили крупный ботнет

Специалистам компании FireEye несколько дней назад удалось уничтожить ботнет Mega-D, известный также как Ozdok. Ботнетчикам не помогли защитные меры, предпринятые после прошлогоднего закрытия провайдера McColo.

Представитель FireEye Атиф Муштак пояснил, что Ozdok был уничтожен в течение суток. Для этого компании пришлось сотрудничать с провайдерами и доменными регистраторами, что привело к блокировке IP-адресов и закрытию доменов, связанных с контролирующими центрами ботнета. Однако, часть контролирующих центров пока продолжают функционировать.

Владельцы Ozdok предприняли некоторые меры на случай подобных действий. В частности, зомби-компьютеры пытаются связываться с несколькими десятками доменных имён для получения инструкций по рассылке спама. Более 25 из этих доменов ещё не были зарегистрированы, чем и воспользовались сотрудники FireEye, не пожалевшие средств на их регистрацию на себя.

Тем не менее у создателей Ozdok имеется и запасной план. Ежедневно боты генерируют одно доменное имя, с которым пытаются связаться в случае, если все прочие домены не отзываются. Специалисты FireEye, зная алгоритм генерации этих имен, зарегистрировали соответствующие домены на некоторое количество дней вперёд.

Таким образом боты Ozdok в настоящее время пытаются связываться с сервером, который контролируется FireEye. Это, в частности, позволяет грубо оценить размеры ботнета: за одни сутки было насчитано более 260 тысяч уникальных IP-адресов, откуда поступали запросы к перехваченному контролирующему центру.

В M86 Security Labs, занимающейся мониторингом активности ботнетов, говорят, что уровень спама, генерирующегося сетью Ozdok, резко снизился примерно 6 ноября и вчера упал до нуля.

Стоит отметить, что еще в начале прошлого года Mega-D/Ozdok был самым крупным генератором спама, будучи ответственным примерно за треть почтового мусора в мире. С тех пор этот ботнет получил ряд серьезных ударов со стороны киберзащитников.

В середине февраля 2008 года были заблокированы его управляющие компьютеры, однако через десять дней злоумышленники сумели вернуть контроль над этой зомби-сетью. В октябре 2008 года Федеральная торговая комиссия (FTC) убедила суд заморозить активы группы HerbalKing, контролирующей сеть Mega-D.

Через месяц был закрыт калифорнийский хостинг-провайдер McColo, чьи серверы активно использовались спамерами — в том числе и владельцами Mega-D/Ozdok. Летом этого года, когда Mega-D уже давно утратил былую мощь, генерируя лишь около 12% общемирового спама, по ботнету был нанесен новый удар: FTC закрыла ещё одного хостинг-провайдера — 3FN.

После этого активность Mega-D/Ozdok снизилась примерно втрое и держалась на этом уровне вплоть до недавнего времени, когда специалисты FireEye решили полностью уничтожить ботнет.

webplanet.ru 

Telegram лишился коротких ссылок: домен t.me отключили по всему миру

Короткие ссылки Telegram формата t.me перестали открываться в браузерах по всему миру. На проблему 13 июля обратило внимание издание «Код Дурова». Сам мессенджер при этом работает штатно: десктопная версия и приложения на смартфонах доступны, а ссылки t.me продолжают открываться внутри Telegram.

Сломался именно внешний переход через браузер.

По предварительным данным, домен фактически исключили из системы DNS на уровне реестра доменной зоны .me. Эта зона относится к Черногории, а ее оператором выступает компания doMEn, выбранная местными властями.

Почему реестр отключил домен, пока неизвестно. Среди возможных причин называют юридический спор, проверку, требования государственных органов или нарушение правил доменной зоны. Официальных разъяснений на момент публикации нет.

При этом сам домен остается зарегистрированным за Telegram до 2035 года. То есть срок регистрации не истек и обычной забывчивостью администратора ситуацию не объяснить.

В итоге получился странный сбой: Telegram на месте, каналы и чаты работают, но привычная короткая ссылка из браузера ведет в никуда. Пока причина не названа, пользователям остается открывать ссылки через приложение или ждать, когда домен вернут в DNS.

RSS: Новости на портале Anti-Malware.ru