Опасные провайдеры рунета

Опасные провайдеры рунета

Интернетом пользоваться опасно - можно подхватить какую-нибудь болезнь прямо на самом популярном сайте. Однако насколько именно заразен Интернет не всегда понятно, хотя регулярно появляются сообщения, что тот или иной популярный сайт взломаны и распространяют троянцев. Мы попытались оценить степень опасности Сети, причём её российского сегмента.

Оказалось, что примерно каждый двадцатый сайт, расположенный в адресном пространстве российских операторов может заразить компьютер посетителя какой-нибудь заразой. Правда, это средняя температура по Рунету. В то время как есть отдельные провайдеры, вред от которых трудно сравнить с их пользой. Данное исследование посвящено как раз выявлению подобных вредоносных провайдеров, поскольку они стараются находиться в тени.

В качестве основного источника информации для выявления "ядовитых" провайдеров России мы использовали данные, которые собраны поисковым механизмом Google и публикуется в Интернет через сервис Safe Browsing. Этот сервис интегрирован с браузерами Firefox 2 и Google Crome, которые просто не пускает посетителей на подозрительные сайты. В частности, именно таким способом я недавно обнаружил заражение троянцем на сайте одной из российских компаний, занимающихся безопасностью.

Основной единицей маршрутизации в Интернет являются так называемые автономные системы, которые используется протоколом BGP для выбора маршрута IP-пакетов. Одна автономная система представляет собой группу IP-адресов, привязанных к одному провайдеру. Сервис Google также использует номера автономных систем для структурирования данных о вредоносных сайтах. У провайдера может быть одна или несколько автономных систем. Мы пытались найти в данных Safe Browsing автономные системы, чьи IP-адреса чаще других используются для заражения пользователей или других сайтов.

Сервис Safe Browsing использует трехуровневую модель заражения: заражённый сайт с большим количеством пользователей и вредоносным JavaScript, перенаправляет пользователей на цепочку промежуточных сайтов, которые в конце концов приводят к загрузке эксплойта - это так называемый дистрибутор вредоносного ПО. При указании номера автономной системы Safe Browsing выдаёт несколько параметров, из которых в своём исследовании мы будем использовать только следующие: количество обнаруженных в автономной системе сайтов; число заражённых сайтов; и количество сайтов, заражённых сайтом-дистрибутором, расположенным в выбранной системе. Впрочем, следует отметить, что сервис Safe Browser имеет одну особенность - он усредняет данные о вредоносных сайтах по периоду в 90 дней. То есть сайт считается вредоносным, если на нем была обнаружена подозрительная активность хотя бы в один из 90 прошедших дней.

Мы проанализировали данные по российским автономным системам за период с апреля по июнь этого года и определили их вредоносность - то есть отношение количества заражаемых сайтов к общему числу веб-серверов в автономной системе. Если этот показатель больше единицы - это означает, что число заражаемых сайтов больше общего числа серверов, обнаруженных в данной автономной системе, то есть гарантированно дистрибуторы этого провайдера заражают внешние сайты. Можно предположить, что такой провайдер создан специально для хостинга вредоносного ПО и помечается нами как ядовитый.

По результатам проведённых исследований нами было обнаружено всего двенадцать подобных провайдеров в России и странах СНГ. Лидерами оказались киевский провайдер Vlaf, томский Tomica и молдавский Monitoring. В автономных системах этих провайдеров не очень много собственных сайтов, однако дистрибуторы работаю очень активно.

 

Таблица 1: Ядовитые провайдеры России. Сведения получены с помощью сервиса Google Safe Browsing.

Таблица результатов исследования


 

Кроме того, нас интересовало насколько Рунет опасен для посещения пользователей. Для этого мы просуммировали данные Google об обнаруженных вредоносных сайтах и поделили эту сумму на общее число сайтов, привязанных к автономным системам российских провайдеров. Это отношение по определению меньше единицы, поэтому мы выразили его в процентах. У нас получилось, что опасность Рунета составляет 5,89%, то есть каждый двадцатый сайт российских провайдеров представлял потенциальную опасность для посетителей в течении прошедших 90 дней. Похожую цифру сам Google публиковал несколько лет назад, то есть за два года опасность Рунета изменилась не сильно.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru