ИБ-специалисты уничтожили крупный ботнет

Александр Панасенко 11 Ноября 2009 - 13:36

...

Специалистам компании FireEye несколько дней назад удалось уничтожить ботнет Mega-D, известный также как Ozdok. Ботнетчикам не помогли защитные меры, предпринятые после прошлогоднего закрытия провайдера McColo.

Представитель FireEye Атиф Муштак пояснил, что Ozdok был уничтожен в течение суток. Для этого компании пришлось сотрудничать с провайдерами и доменными регистраторами, что привело к блокировке IP-адресов и закрытию доменов, связанных с контролирующими центрами ботнета. Однако, часть контролирующих центров пока продолжают функционировать.

Владельцы Ozdok предприняли некоторые меры на случай подобных действий. В частности, зомби-компьютеры пытаются связываться с несколькими десятками доменных имён для получения инструкций по рассылке спама. Более 25 из этих доменов ещё не были зарегистрированы, чем и воспользовались сотрудники FireEye, не пожалевшие средств на их регистрацию на себя.

Тем не менее у создателей Ozdok имеется и запасной план. Ежедневно боты генерируют одно доменное имя, с которым пытаются связаться в случае, если все прочие домены не отзываются. Специалисты FireEye, зная алгоритм генерации этих имен, зарегистрировали соответствующие домены на некоторое количество дней вперёд.

Таким образом боты Ozdok в настоящее время пытаются связываться с сервером, который контролируется FireEye. Это, в частности, позволяет грубо оценить размеры ботнета: за одни сутки было насчитано более 260 тысяч уникальных IP-адресов, откуда поступали запросы к перехваченному контролирующему центру.

В M86 Security Labs, занимающейся мониторингом активности ботнетов, говорят, что уровень спама, генерирующегося сетью Ozdok, резко снизился примерно 6 ноября и вчера упал до нуля.

Стоит отметить, что еще в начале прошлого года Mega-D/Ozdok был самым крупным генератором спама, будучи ответственным примерно за треть почтового мусора в мире. С тех пор этот ботнет получил ряд серьезных ударов со стороны киберзащитников.

В середине февраля 2008 года были заблокированы его управляющие компьютеры, однако через десять дней злоумышленники сумели вернуть контроль над этой зомби-сетью. В октябре 2008 года Федеральная торговая комиссия (FTC) убедила суд заморозить активы группы HerbalKing, контролирующей сеть Mega-D.

Через месяц был закрыт калифорнийский хостинг-провайдер McColo, чьи серверы активно использовались спамерами — в том числе и владельцами Mega-D/Ozdok. Летом этого года, когда Mega-D уже давно утратил былую мощь, генерируя лишь около 12% общемирового спама, по ботнету был нанесен новый удар: FTC закрыла ещё одного хостинг-провайдера — 3FN.

После этого активность Mega-D/Ozdok снизилась примерно втрое и держалась на этом уровне вплоть до недавнего времени, когда специалисты FireEye решили полностью уничтожить ботнет.

webplanet.ru

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 19:02

Корпорации Security Vision

Платформа Security Vision 5 получила более 300 улучшений за год

Компания Security Vision подвела итоги развития платформы Security Vision 5 (SV5) за 2025 год. За это время вышло 12 обновлений, в которые вошло более 300 доработок. Основной фокус разработчиков был на практичных вещах: управляемой автоматизации, расширении интеграций, удобстве эксплуатации и работе платформы в реальных корпоративных инфраструктурах.

В течение года развитие SV5 шло сразу по нескольким направлениям. Одним из ключевых стала автоматизация: в платформе появилось больше управляемых рабочих процессов и сценариев, позволяющих сократить ручную рутину.

В том числе были доработаны механизмы синхронного запуска сценариев, возврата результатов выполнения и появилась библиотека параметров. Это сделало автоматизацию более гибкой и предсказуемой, а сами сценарии — менее требовательными к производительности.

Параллельно расширялись интеграции и источники данных. В 2025 году платформа получила новые коннекторы, дополнительные источники телеметрии и более гибкие настройки сетевых параметров. Всё это позволяет собирать более полный контекст для анализа и расследований и уменьшает количество «костылей» в интеграционных цепочках.

Отдельное внимание уделялось безопасности и управляемости. В течение года были усилены механизмы контроля доступа и аудита: добавились новые события аудита, расширились настройки журналирования, а также появились дополнительные ограничения для API-доступа.

Заметные изменения коснулись и пользовательского интерфейса. В SV5 доработали дашборды и виджеты, добавили удобную фильтрацию по временным интервалам и развили визуализацию на карте. Обновления карточек объектов и редакторов сделали повседневную работу аналитиков и администраторов более быстрой и понятной.

Наконец, в части развертывания и эксплуатации разработчики упростили сценарии установки и сопровождения платформы, в том числе за счёт улучшенного логирования. Это снижает трудозатраты на внедрение и помогает быстрее разбираться с проблемами в процессе эксплуатации.

В Security Vision отмечают, что все обновления 2025 года были нацелены на практический эффект для команд заказчиков. SOC-аналитики получили более удобные инструменты для работы с контекстом событий, специалисты по расследованиям — меньше ручных операций за счёт автоматизации, а администраторы — более прозрачные сценарии установки, сопровождения и контроля доступа.

По итогам года платформа SV5 стала более управляемой и предсказуемой в повседневной работе — без радикальных изменений, но с большим количеством точечных улучшений, которые ощущаются в реальной эксплуатации.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »