Создатели сетей зараженных машин (ботнетов) внедряют новые каналы связи с инфицированными компьютерами, сообщает SecurityLab. Вместо каналов IRC, которые достаточно быстро могут быть обнаружены специалистами по обеспечению информационной безопасности, распространители вредоносных программ стали использовать веб-соединения.
Представитель Arbor Networks Хосе Насарио (Jose Nazario) сообщил, что вместе со своими коллегами в прошлом году обнаружил несколько ботнетов, которые не использовали для связи обычные в таких случаях IRC. Внимательно изучив работу вредоносных сетей, Насарио обнаружил, что в них используется не вызывающее подозрений веб-соединение.
Эксперты из организации Shadowserver Foundation, которая изучает ботнеты и вредоносные программы, также заметили перемены в механизмах управления сетями зараженных машин. По словам директора Shadowserver Foundation Андрэ М. ди Мино (Andre` M. Di Mino), для управления ботнетами и дальше будут использоваться и пиринговые сети (IRC-каналы), и протокол HTTP. При этом ди Мино считает, что ботнеты, управляемые через пиринговые сети, закрывать будет значительно сложнее: «Пиринговые сети представляют сложность поскольку не являются централизованной схемой — каждый бот может самостоятельно отправлять свои собственные команды. Они более разветвлены и сложны в изоляции».
Марк Лавлесс (Mark Loveless), старший специалист по вопросам безопасности компании Vernier Networks, не видит причин скорого отказа от использования IRC в управлении ботнетами. «Это программное обеспечение с открытым кодом. Оно действительно доступно для тех, кто впервые пытается создать ботнет. Если бы я собирался создать ботнет, то использовал бы для управления какой-нибудь скрытый канал».
Распространители вредоносных программ используют веб-соединения
Создатели сетей зараженных машин (ботнетов) внедряют новые каналы связи с инфицированными компьютерами
Начать дискуссию