Как специалист по безопасности обманул ботнет

В ходе конференции по вопросам криптографии и защиты информации RSA, один из присутствующих экспертов по безопасности в реальном времени обманул крупный ботнет.


 
 
Старший научный сотрудник компании CrowdStrike, специализирующейся на вопросах безопасности в Сети Тиллман Вернер (Tillmann Werner) в ходе конференции RSA совершил увенчавшуюся успехом атаку на крупный ботнет Kelihos.

Тиллман Вернер - гроза зловредных ботнетов

Для успешного нападения Вернер задействовал систему обмена сообщениями, которая используется для управления компьютерами, «зараженными» ботнетом. Программист создал фальшивый C&C-сервер и заставил ботов подключиться к нему. Сделано это было для защиты компьютеров, пишет Threat Post

Кроме того, на всякий случай Вернер создал «черный список» серверов, контролируемых авторами Kelihos, и полностью блокировал доступ зараженных систем к этим серверам.

Каждый красный огонек - новый бот в сетях Вернера

Затем, в ходе конференции Вернер продемонстрировал на большом мониторе появление красных точек на карте – таким образом условно обозначались новые боты, подключающиеся к его C&C-серверу. Спустя несколько часов к серверу CrowdStrike уже присоединились десятки тысяч зараженных машин. Попав под влияние эксперта, эти машины избежали дальнейшей угрозы со стороны ботнета.

Напомним, что ботнетом называется компьютерная сеть из некоторого количества систем с запущенным на них автономным программным обеспечением – ботами. Чаще всего, боты попадают на компьютеры жертвы тайно, и предназначаются злоумышленниками для нелегальной деятельости. Например, ботнет Kelihos специализировался на хищении паролей, рассылке спама, краже учетных данных пользователя и так далее.