SlideShare a Scribd company logo

Современные методы борьбы с ботнетами

Download as PPTX, PDF
Andrey Beshkov
Andrey Beshkov

В докладе будет рассказано о том как возникают ботнеты. Свойственно ли это Windows или есть ботнеты на основе других ОС. Для чего могут использоваться ботнеты в криминальной деятельности. Как Microsoft борется с ботнетами.

Technology
1 of 49
Бешков Андрей Руководитель программы информационной безопасности Microsoft http://beshkov.ru http://twitter.com/abeshkov abeshkov@microsoft.com
10 самых распространенных семейств зловредного ПО Что такое ботнеты и как в них попасть? Архитектура ботнета Waledac Опыт борьбы Microsoft и партнеров с ботнетами
Данные о зловредном ПО были собраны с 600 миллионов компьютеров обслуживаемых средствами безопасности Microsoft такими как: • Malicious Software Removal Tool • Microsoft Security Essentials • Windows Defender • Microsoft Forefront Client Security • Windows Live OneCare • Windows Live OneCare safety scanner http://www.microsoft.com/security/sir/
Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/Taterf Worms 1,495,286 2,320,953 Password Stealers & Monitoring Win32/Frethog 2,010,989 1,997,669 Tools
Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/Renos Trojan Downloaders & Droppers 2,691,987 1,888,339
Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/FakeSpypro Miscellaneous Trojans 1,244,353 1,423,528 Поддельный антивирус. Заражает систему с позволения пользователя. Запугивает и заставляет покупать поддельное ПО для лечения.
Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/Alureon Miscellaneous Trojans 1,463,885 1,035,079 Предлагает поставить кодеки для проигрывания видео. Кто же откажется? Бесплатно! Вызывает BSOD при обновлении ОС
Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/Zwangi Misc. Potentially Unwanted Software 542,011 859,801 Предлагает бесплатный скринсейвер. Устанавливается с разрешения пользователя.
Семейство Категория 1 кв 2010 2 кв 2010 3 кв 2010 4 кв 2010 Pornpop Adware — — 2,660,061 3,860,365 Autorun Worms 1,256,649 Java Script вынуждает 1,646,532 2,805,585 3,314,092 Taterf Worms 1,496,780 пользователя кликнуть 2,323,750 2,338,517 1,615,649 Zwangi Misc. Potentially Unwanted Software 542,534 и установить 2,299,210 860,747 1,638,398 Renos Trojan Downloaders & Droppers 2,693,093 вредоносное ПО в 1,655,865 1,889,680 2,109,631 систему Rimecud Worms 1,809,231 1,749,708 1,674,975 1,892,919 Conficker Worms 1,498,256 1,664,941 1,649,934 1,744,986 FakeSpypro Miscellaneous Trojans 1,244,903 1,424,152 1,897,420 889,277 Hotbar Adware 1,015,659 1,483,289 942,281 1,640,238 ClickPotato Adware — — 451,660 2,110,117
Годовой Семейство Категория 1Q10 2Q10 график Win32/Conficker Worms 1,496,877 1,663,349 Использует для распространения 3 уязвимости в Windows. В пике эпидемии доходил до 6,5 млн зараженных хостов. Обновление устраняющее уязвимость выпущено за 3 месяца до эпидемии! Более 90% клиентов обновилось в течении первой недели. Заражены те, кто не установили обновление в течении трех лет.
9 из 10 распространенных злонамеренных приложений устанавливаются в систему с согласия пользователя! По данным AVG Technologies заражение через социальную инженерии происходит в 4 раза чаще чем с помощью уязвимостей в ОС и приложениях любого производителя.
Поддельный вебсайт с IE9 попал в топ поисковой выдачи Bing и Google за счет рекламы. Заблокирован IE9 SmartScreen Filter
Тестировалось на 500000 машин с известными уязвимостями. Результативность заражения 31% 37% - Java JRE 32% - Adobe Reader и Acrobat 16% - Adobe Flash. 10% - Internet Explorer 3% - Apple QuickTime 2% - Центр справки и поддержки Windows Исследование CSIS http://www.theregister.co.uk/2011/09/28/window_malware_infection_exposed/
Обнаружение зловредного ПО на каждую 1000 запусков антивируса Заражение руткитами по данным Avast Antivirus 74% - Windows XP 17% - Windows Vista 12% - Windows 7
SEHOP SEHOP Включено по Heap Heap Критические уязвимости через Win7 умолчанию terminate terminate год после выпуска Выключено по DEP DEP 70 умолчанию ASLR ASLR 60 SEHOP SEHOP SEHOP 50 Vista Heap Heap Heap SP1, terminate terminate terminate 40 SP2 DEP DEP DEP 30 ASLR ASLR ASLR 20 SEHOP SEHOP Heap Heap 10 Vista terminate terminate 0 RTM DEP DEP Windows XP Windows Vista Windows 7 ASLR ASLR SEHOP SEHOP SEHOP Heap Heap Heap XP terminate terminate terminate SP3 DEP DEP DEP ASLR ASLR ASLR SEHOP SEHOP SEHOP Heap Heap Heap XP terminate terminate terminate SP2 DEP DEP DEP ASLR ASLR ASLR IE 6 IE 7 IE 8 IE 9
Обучать пользователей защите от социальной инженерии. Smart Screen в Internet Explorer защищает от 99% социальных атак. Обновлять системы и приложения. Большинство атак выполняется с использованием очень старых уязвимостей Enhanced Mitigation Experience Toolkit (EMET) v2.0
Работа в системе с правами обычного пользователя предотвращает атаки на: 75% - критических уязвимостей Windows 7 100% - уязвимостей Microsoft Office опубликованных в 2010 г. 100% - уязвимостей Internet Explorer опубликованных за 2010 г. 64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г. Исследование BeyondTrust за 2010 г
Семейство Удалено в 1 кв 2010 Удалено в 2 кв 2010 Тенденция 1 Win32/Rimecud 1,807,773 1,748,260 -3.3% ▼ 2 Win32/Alureon 1,463,885 1,035,079 -29.3% ▼ 3 Win32/Hamweq 1,117,380 779,731 -30.2% ▼ 4 Win32/Pushbot 474,761 589,248 24.1% ▲ 5 Win32/IRCbot 597,654 388,749 -35.0% ▼ 6 Win32/Koobface 222,041 383,633 72.8% ▲ 7 Win32/FlyAgent 221,613 293,432 32.4% ▲ 8 Win32/Virut 227,272 284,519 25.2% ▲ 9 AutoIt/Renocide 167,041 178,816 7.0% ▲ 10 Win32/Hupigon 178,706 177,280 -0.8% ▼ 11 Win32/Sdbot 125,466 146,922 17.1% ▲ 12 Win32/Nuwar 8,098 133,951 1554.1% ▲ 13 Win32/Bubnix 91,144 132,771 45.7% ▲ 14 Win32/Zbot 107,363 131,078 22.1% ▲ 15 Win32/Ursap 121,239 121,302 0.1% ▲ 16 Win32/Rbot 145,107 110,316 -24.0% ▼ 17 Win32/Pasur 95,040 91,612 -3.6% ▼ 18 Win32/Rustock 82,712 52,312 -36.8% ▼ 19 Win32/Slenfbot 56,898 51,228 -10.0% ▼ 20 Win32/Bagle 48,326 34,240 -29.1% ▼ 21 Win32/Tofsee 29,367 32,031 9.1% ▲ 22 Win32/Bifrose 28,966 30,466 5.2% ▲ 23 Win32/Waledac 83,580 29,816 -64.3% ▼ 24 Win32/Prorat 26,913 25,726 -4.4% ▼ 25 Win32/Trenk 24,093 21,749 -9.7% ▼
Ботов на 1000 Страна Удалено в 1 кв 2010 Удалено в 2 кв 2010 проверенных ПК 1 United States 2,163,216 2,148,169 5.2 2 Brazil 511,002 550,426 5.2 3 Spain 485,603 381,948 12.4 4 Korea 422,663 354,906 14.6 5 Mexico 364,554 331,434 11.4 6 France 344,743 271,478 4.0 7 United Kingdom 251,406 243,817 2.7 8 China 227,470 230,037 1.0 9 Russia 181,341 199,229 4.3 10 Germany 200,016 156,975 1.4 11 Italy 191,588 130,888 2.6 12 Turkey 91,262 98,411 4.7 13 Canada 96,834 87,379 1.4 14 Netherlands 115,349 77,466 2.5 15 Colombia 76,610 71,493 5.8 16 Portugal 83,379 68,903 5.7 17 Australia 72,903 66,576 2.8 18 Poland 87,926 62,704 3.9 19 Taiwan 52,915 54,347 3.4 20 Japan 63,202 52,827 0.6
Psyb0t 100.000 ADSL зараженных маршрутизаторов Netcomm NB5. Заражает прошивки OpenWRT и DD-WRT. Подбирает пароли SSH, FTP, telnet Атакует phpMyAdmin и MySQL. Chuck Norris - Аналогичен PsyB0t + атакует ТВ приставки Ботнеты на Android от 40 до 150000 http://s1.securityweek.com/report-reveals-emerging-trend- android-botnet-infections http://www.xakep.ru/post/58265/default.asp
1) Злоумышленник создает зловред сам или покупает его 2) Доступ к части ботнета на рынке. Затем использует продается другим его для заражения целей злоумышленникам или продает другим. 3) Доступ к 4) Ресурсы ботнета ботнету используются для получен множества аттак одновременно 5) Свободные ресурсы используются для заражения и добавления новых узлов в ботнет
Цена за тысячу зараженных компьютеров: • США и Великобритания – от 110$ до 180$. • Европа - от 20$ до 60$. • Другие страны - менее 10$. Цена варьируется в зависимости от того что можно найти на зараженных ПК и скорости подключения в Интернет.
Ботнет комплекты в продаже: • Zbot (Zeus) • Spyeye • Mariposa • Black Energy • ButterFly • Reptile • Zombiem • Ice-X Цена на комплект варьируется от 10000$ до 5$. Справится даже ребенок!
Аналог облачных вычислений: • Выполняет задачи нескольких заказчиков одновременно • Эластичен и представляет почти безграничные ресурсы • Оплата за потребляемые ресурсы
Логины и пароли собранные ботами с зараженных систем
IP адреса узлов Спам сообщений отправителей Lethic Lethic Rustock Rustock Cutwail Bobax Cutwail Grum Bobax Storm Grum Все остальные Все остальные
Lethic крайне агрессивно рассылает спам с малого количества IP адресов. Rustock использует много IP адресов и шлет с каждого понемногу. За счет этого обнаружить Rustock сложнее.
Другое IRC 30,5% 38.2% P2P 2.3% HTTP 29.1%
• Судебный иск и захват С&C узлов • DDoS на С&C узлы • Жалобы провайдеру • Захват DNS имен • Блокирование IP адресов • Арест владельца ботнета
Захват ботнета Waledac
2-й квартал 2010 г.
Январь 2011 г.
Без команд с C&C сервера боты впадают в спячку. MS не может удалить ботов с зараженных ПК. Это будет вмешательством в частную жизнь. Образцы ботов добавляются в антивирусные продукты MS и других производителей. Обмен образцами идет через Microsoft Active Protection Program (MAPP) Интернет провайдерам сообщаются адреса зараженных машин через программу Global Infrastructure Alliance for Internet Safety Пользователям рекомендуется использовать: Malicious Software Removal Tool Microsoft Safety Scanner Microsoft Security Essentials Постепенно боты удаляются антивирусами.
Операция b49 Захват ботнета Waledac 1.5 миллиардов спам сообщений ежедневно. В процессе исследования найдено полмиллиона паролей от почтовых ящиков пользователей и ftp серверов. Операция b107 Захват ботнета Rustock. В пике своей активности рассылал 80% мирового спама. Примерно 2000 спам сообщений в секунду. Захват ботнета Coreflood ФБР при содействии Microsoft захватила ботнет Coreflood отвечающий за финансовые преступления на сумму 100 миллионов долларов Операция b79 Захват ботнета Kelihos Совместная операция Лаборатории Касперского и Microsoft. Kelihos можно назвать Waledac 2.0
http://beshkov.ru http://twitter.com/abeshkov abeshkov@microsoft.com
http://blogs.technet.com/mmpc/ http://blogs.technet.com/msrc/ http://www.microsoft.com/security/sdl/ http://www.microsoft.com/security/sir/

Recommended

забейворота
забейворотазабейворота
забейворотаBogdanZabeyvorota
 
CloudsNN 2014. Павел Александров. Решения и сервисы Лаборатории Касперского.
CloudsNN 2014. Павел Александров. Решения и сервисы Лаборатории Касперского.CloudsNN 2014. Павел Александров. Решения и сервисы Лаборатории Касперского.
CloudsNN 2014. Павел Александров. Решения и сервисы Лаборатории Касперского.Clouds NN
 
компьютерные вирусы
компьютерные вирусыкомпьютерные вирусы
компьютерные вирусыqwertyuiopasdfghjklmnbvcxz123
 
Вячеслав Медведев (Доктор Веб) "ИБ: типичные ошибки"
Вячеслав Медведев (Доктор Веб) "ИБ: типичные ошибки"Вячеслав Медведев (Доктор Веб) "ИБ: типичные ошибки"
Вячеслав Медведев (Доктор Веб) "ИБ: типичные ошибки"Expolink
 
компьютерные вирусы
компьютерные вирусыкомпьютерные вирусы
компьютерные вирусыANSevrukova
 
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…Positive Hack Days
 
Integrity control
Integrity controlIntegrity control
Integrity controlAndrei Novikau
 
Antivirus93
Antivirus93Antivirus93
Antivirus93Vladimir Khokhryakov
 

Recommended

забейворота
забейворотазабейворота
забейворотаBogdanZabeyvorota
 
CloudsNN 2014. Павел Александров. Решения и сервисы Лаборатории Касперского.
CloudsNN 2014. Павел Александров. Решения и сервисы Лаборатории Касперского.CloudsNN 2014. Павел Александров. Решения и сервисы Лаборатории Касперского.
CloudsNN 2014. Павел Александров. Решения и сервисы Лаборатории Касперского.Clouds NN
 
компьютерные вирусы
компьютерные вирусыкомпьютерные вирусы
компьютерные вирусыqwertyuiopasdfghjklmnbvcxz123
 
Вячеслав Медведев (Доктор Веб) "ИБ: типичные ошибки"
Вячеслав Медведев (Доктор Веб) "ИБ: типичные ошибки"Вячеслав Медведев (Доктор Веб) "ИБ: типичные ошибки"
Вячеслав Медведев (Доктор Веб) "ИБ: типичные ошибки"Expolink
 
компьютерные вирусы
компьютерные вирусыкомпьютерные вирусы
компьютерные вирусыANSevrukova
 
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…Positive Hack Days
 
Integrity control
Integrity controlIntegrity control
Integrity controlAndrei Novikau
 
Antivirus93
Antivirus93Antivirus93
Antivirus93Vladimir Khokhryakov
 
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLAndrey Beshkov
 
Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...Andrey Beshkov
 
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...Andrey Beshkov
 
Running Linux and Unix on Hyper-V
Running Linux and Unix on Hyper-VRunning Linux and Unix on Hyper-V
Running Linux and Unix on Hyper-VAndrey Beshkov
 
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...Andrey Beshkov
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаковAndrey Beshkov
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Andrey Beshkov
 
Слепая вера в безопасность или инженерная практика?
Слепая вера в безопасность или инженерная практика?Слепая вера в безопасность или инженерная практика?
Слепая вера в безопасность или инженерная практика?Andrey Beshkov
 
Как донести идею до миллионов?
Как донести идею до миллионов?Как донести идею до миллионов?
Как донести идею до миллионов?Andrey Beshkov
 
Orion Ict BMW
Orion Ict BMWOrion Ict BMW
Orion Ict BMWmos81
 
CDS Hikvision Intro 2012 V.1
CDS Hikvision Intro 2012 V.1CDS Hikvision Intro 2012 V.1
CDS Hikvision Intro 2012 V.1mos81
 
Cds Digital Signage Presentation 112011
Cds Digital Signage Presentation 112011Cds Digital Signage Presentation 112011
Cds Digital Signage Presentation 112011mos81
 
Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7Andrey Beshkov
 
Новые возможности Windows Server 2008 R2 SP1
Новые возможности Windows Server 2008 R2 SP1Новые возможности Windows Server 2008 R2 SP1
Новые возможности Windows Server 2008 R2 SP1Andrey Beshkov
 
DirectAccess - безопасный и прозрачный доступ к корпоративной сети
DirectAccess - безопасный и прозрачный доступ к корпоративной сетиDirectAccess - безопасный и прозрачный доступ к корпоративной сети
DirectAccess - безопасный и прозрачный доступ к корпоративной сетиAndrey Beshkov
 
Защита данных с помощью System Center Data Protection Manager 2007
Защита данных с помощью System Center Data Protection Manager 2007Защита данных с помощью System Center Data Protection Manager 2007
Защита данных с помощью System Center Data Protection Manager 2007Andrey Beshkov
 
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...Andrey Beshkov
 
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003Andrey Beshkov
 
Big Data & Predictive Analytics – Eine Einführung für Verlage
Big Data & Predictive Analytics – Eine Einführung für VerlageBig Data & Predictive Analytics – Eine Einführung für Verlage
Big Data & Predictive Analytics – Eine Einführung für VerlageTim Bruysten
 
Estudio de la actividad física en alcolea de cinca
Estudio de la actividad física en alcolea de cincaEstudio de la actividad física en alcolea de cinca
Estudio de la actividad física en alcolea de cincayolandanasarre
 
Лаборатория Каспеского: современные тенденции киберпреступности
Лаборатория Каспеского: современные тенденции киберпреступностиЛаборатория Каспеского: современные тенденции киберпреступности
Лаборатория Каспеского: современные тенденции киберпреступностиNick Turunov
 
Современные вирусные угрозы
Современные вирусные угрозыСовременные вирусные угрозы
Современные вирусные угрозыDmitry Ledyaev
 

More Related Content

Viewers also liked

Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLAndrey Beshkov
 
Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...Andrey Beshkov
 
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...Andrey Beshkov
 
Running Linux and Unix on Hyper-V
Running Linux and Unix on Hyper-VRunning Linux and Unix on Hyper-V
Running Linux and Unix on Hyper-VAndrey Beshkov
 
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...Andrey Beshkov
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаковAndrey Beshkov
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Andrey Beshkov
 
Слепая вера в безопасность или инженерная практика?
Слепая вера в безопасность или инженерная практика?Слепая вера в безопасность или инженерная практика?
Слепая вера в безопасность или инженерная практика?Andrey Beshkov
 
Как донести идею до миллионов?
Как донести идею до миллионов?Как донести идею до миллионов?
Как донести идею до миллионов?Andrey Beshkov
 
Orion Ict BMW
Orion Ict BMWOrion Ict BMW
Orion Ict BMWmos81
 
CDS Hikvision Intro 2012 V.1
CDS Hikvision Intro 2012 V.1CDS Hikvision Intro 2012 V.1
CDS Hikvision Intro 2012 V.1mos81
 
Cds Digital Signage Presentation 112011
Cds Digital Signage Presentation 112011Cds Digital Signage Presentation 112011
Cds Digital Signage Presentation 112011mos81
 
Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7Andrey Beshkov
 
Новые возможности Windows Server 2008 R2 SP1
Новые возможности Windows Server 2008 R2 SP1Новые возможности Windows Server 2008 R2 SP1
Новые возможности Windows Server 2008 R2 SP1Andrey Beshkov
 
DirectAccess - безопасный и прозрачный доступ к корпоративной сети
DirectAccess - безопасный и прозрачный доступ к корпоративной сетиDirectAccess - безопасный и прозрачный доступ к корпоративной сети
DirectAccess - безопасный и прозрачный доступ к корпоративной сетиAndrey Beshkov
 
Защита данных с помощью System Center Data Protection Manager 2007
Защита данных с помощью System Center Data Protection Manager 2007Защита данных с помощью System Center Data Protection Manager 2007
Защита данных с помощью System Center Data Protection Manager 2007Andrey Beshkov
 
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...Andrey Beshkov
 
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003Andrey Beshkov
 
Big Data & Predictive Analytics – Eine Einführung für Verlage
Big Data & Predictive Analytics – Eine Einführung für VerlageBig Data & Predictive Analytics – Eine Einführung für Verlage
Big Data & Predictive Analytics – Eine Einführung für VerlageTim Bruysten
 
Estudio de la actividad física en alcolea de cinca
Estudio de la actividad física en alcolea de cincaEstudio de la actividad física en alcolea de cinca
Estudio de la actividad física en alcolea de cincayolandanasarre
 

Viewers also liked (20)

Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
 
Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...
 
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
 
Running Linux and Unix on Hyper-V
Running Linux and Unix on Hyper-VRunning Linux and Unix on Hyper-V
Running Linux and Unix on Hyper-V
 
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаков
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
 
Слепая вера в безопасность или инженерная практика?
Слепая вера в безопасность или инженерная практика?Слепая вера в безопасность или инженерная практика?
Слепая вера в безопасность или инженерная практика?
 
Как донести идею до миллионов?
Как донести идею до миллионов?Как донести идею до миллионов?
Как донести идею до миллионов?
 
Orion Ict BMW
Orion Ict BMWOrion Ict BMW
Orion Ict BMW
 
CDS Hikvision Intro 2012 V.1
CDS Hikvision Intro 2012 V.1CDS Hikvision Intro 2012 V.1
CDS Hikvision Intro 2012 V.1
 
Cds Digital Signage Presentation 112011
Cds Digital Signage Presentation 112011Cds Digital Signage Presentation 112011
Cds Digital Signage Presentation 112011
 
Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7
 
Новые возможности Windows Server 2008 R2 SP1
Новые возможности Windows Server 2008 R2 SP1Новые возможности Windows Server 2008 R2 SP1
Новые возможности Windows Server 2008 R2 SP1
 
DirectAccess - безопасный и прозрачный доступ к корпоративной сети
DirectAccess - безопасный и прозрачный доступ к корпоративной сетиDirectAccess - безопасный и прозрачный доступ к корпоративной сети
DirectAccess - безопасный и прозрачный доступ к корпоративной сети
 
Защита данных с помощью System Center Data Protection Manager 2007
Защита данных с помощью System Center Data Protection Manager 2007Защита данных с помощью System Center Data Protection Manager 2007
Защита данных с помощью System Center Data Protection Manager 2007
 
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
 
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
 
Big Data & Predictive Analytics – Eine Einführung für Verlage
Big Data & Predictive Analytics – Eine Einführung für VerlageBig Data & Predictive Analytics – Eine Einführung für Verlage
Big Data & Predictive Analytics – Eine Einführung für Verlage
 
Estudio de la actividad física en alcolea de cinca
Estudio de la actividad física en alcolea de cincaEstudio de la actividad física en alcolea de cinca
Estudio de la actividad física en alcolea de cinca
 

Similar to Современные методы борьбы с ботнетами

Лаборатория Каспеского: современные тенденции киберпреступности
Лаборатория Каспеского: современные тенденции киберпреступностиЛаборатория Каспеского: современные тенденции киберпреступности
Лаборатория Каспеского: современные тенденции киберпреступностиNick Turunov
 
Современные вирусные угрозы
Современные вирусные угрозыСовременные вирусные угрозы
Современные вирусные угрозыDmitry Ledyaev
 
Компьютерные вирусы
Компьютерные вирусыКомпьютерные вирусы
Компьютерные вирусыElena7698
 
Троянские программы.
Троянские программы.Троянские программы.
Троянские программы.BitUser Nguyễn
 
презeнтация
презeнтацияпрезeнтация
презeнтацияguest696d5d
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозCisco Russia
 
читацькі інтереси підлітків
читацькі інтереси підлітківчитацькі інтереси підлітків
читацькі інтереси підлітківOlga Shiba
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVKonstantin Matyukhin
 
Новые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБНовые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБAleksey Lukatskiy
 
вирусы золотов
вирусы золотоввирусы золотов
вирусы золотовevgenija
 
Троянские программы
Троянские программыТроянские программы
Троянские программыBitUser Nguyễn
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...Expolink
 
Продукты Doctor web: как на самом деле нужно защищаться?
Продукты Doctor web: как на самом деле нужно защищаться?Продукты Doctor web: как на самом деле нужно защищаться?
Продукты Doctor web: как на самом деле нужно защищаться?Expolink
 
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодомсидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодомelenae00
 
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодомсидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодомelenae00
 
Sorokin mac os x malware overview
Sorokin mac os x malware overviewSorokin mac os x malware overview
Sorokin mac os x malware overviewDefconRussia
 
обучающая программа
обучающая программаобучающая программа
обучающая программаtnik222
 
спасите город от вирусов
спасите город от вирусовспасите город от вирусов
спасите город от вирусовtnik222
 

Similar to Современные методы борьбы с ботнетами (20)

Лаборатория Каспеского: современные тенденции киберпреступности
Лаборатория Каспеского: современные тенденции киберпреступностиЛаборатория Каспеского: современные тенденции киберпреступности
Лаборатория Каспеского: современные тенденции киберпреступности
 
Современные вирусные угрозы
Современные вирусные угрозыСовременные вирусные угрозы
Современные вирусные угрозы
 
Компьютерные вирусы
Компьютерные вирусыКомпьютерные вирусы
Компьютерные вирусы
 
Троянские программы.
Троянские программы.Троянские программы.
Троянские программы.
 
презeнтация
презeнтацияпрезeнтация
презeнтация
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угроз
 
читацькі інтереси підлітків
читацькі інтереси підлітківчитацькі інтереси підлітків
читацькі інтереси підлітків
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
 
Новые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБНовые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБ
 
вирус 1
вирус 1вирус 1
вирус 1
 
вирусы золотов
вирусы золотоввирусы золотов
вирусы золотов
 
Троянские программы
Троянские программыТроянские программы
Троянские программы
 
Social network security
Social network securitySocial network security
Social network security
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
 
Продукты Doctor web: как на самом деле нужно защищаться?
Продукты Doctor web: как на самом деле нужно защищаться?Продукты Doctor web: как на самом деле нужно защищаться?
Продукты Doctor web: как на самом деле нужно защищаться?
 
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодомсидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
 
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодомсидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
сидоров александр.борьба с смс фродом серой дистрибуцией вредоносным кодом
 
Sorokin mac os x malware overview
Sorokin mac os x malware overviewSorokin mac os x malware overview
Sorokin mac os x malware overview
 
обучающая программа
обучающая программаобучающая программа
обучающая программа
 
спасите город от вирусов
спасите город от вирусовспасите город от вирусов
спасите город от вирусов
 

More from Andrey Beshkov

Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...
Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...
Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...Andrey Beshkov
 
Защита от вредоносного кода бесплатно.
Защита от вредоносного кода бесплатно. Защита от вредоносного кода бесплатно.
Защита от вредоносного кода бесплатно. Andrey Beshkov
 
Безопасность филиальных офисов
Безопасность филиальных офисов Безопасность филиальных офисов
Безопасность филиальных офисов Andrey Beshkov
 
Разработка безопасных веб приложений
Разработка безопасных веб приложенийРазработка безопасных веб приложений
Разработка безопасных веб приложенийAndrey Beshkov
 
За кулисами Windows Update. От уязвимости к обновлению.
За кулисами Windows Update. От уязвимости к обновлению.За кулисами Windows Update. От уязвимости к обновлению.
За кулисами Windows Update. От уязвимости к обновлению.Andrey Beshkov
 
Методы разработки безопасного ПО
Методы разработки безопасного ПОМетоды разработки безопасного ПО
Методы разработки безопасного ПОAndrey Beshkov
 
Dynamic Memory в Windows Server 2008 R2 SP1
Dynamic Memory в Windows Server 2008 R2 SP1Dynamic Memory в Windows Server 2008 R2 SP1
Dynamic Memory в Windows Server 2008 R2 SP1Andrey Beshkov
 
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...Andrey Beshkov
 

More from Andrey Beshkov (8)

Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...
Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...
Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...
 
Защита от вредоносного кода бесплатно.
Защита от вредоносного кода бесплатно. Защита от вредоносного кода бесплатно.
Защита от вредоносного кода бесплатно.
 
Безопасность филиальных офисов
Безопасность филиальных офисов Безопасность филиальных офисов
Безопасность филиальных офисов
 
Разработка безопасных веб приложений
Разработка безопасных веб приложенийРазработка безопасных веб приложений
Разработка безопасных веб приложений
 
За кулисами Windows Update. От уязвимости к обновлению.
За кулисами Windows Update. От уязвимости к обновлению.За кулисами Windows Update. От уязвимости к обновлению.
За кулисами Windows Update. От уязвимости к обновлению.
 
Методы разработки безопасного ПО
Методы разработки безопасного ПОМетоды разработки безопасного ПО
Методы разработки безопасного ПО
 
Dynamic Memory в Windows Server 2008 R2 SP1
Dynamic Memory в Windows Server 2008 R2 SP1Dynamic Memory в Windows Server 2008 R2 SP1
Dynamic Memory в Windows Server 2008 R2 SP1
 
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
 

Современные методы борьбы с ботнетами

  • 1. Бешков Андрей Руководитель программы информационной безопасности Microsoft http://beshkov.ru http://twitter.com/abeshkov abeshkov@microsoft.com
  • 2. 10 самых распространенных семейств зловредного ПО Что такое ботнеты и как в них попасть? Архитектура ботнета Waledac Опыт борьбы Microsoft и партнеров с ботнетами
  • 3. Данные о зловредном ПО были собраны с 600 миллионов компьютеров обслуживаемых средствами безопасности Microsoft такими как: • Malicious Software Removal Tool • Microsoft Security Essentials • Windows Defender • Microsoft Forefront Client Security • Windows Live OneCare • Windows Live OneCare safety scanner http://www.microsoft.com/security/sir/
  • 4. Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/Taterf Worms 1,495,286 2,320,953 Password Stealers & Monitoring Win32/Frethog 2,010,989 1,997,669 Tools
  • 5. Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/Renos Trojan Downloaders & Droppers 2,691,987 1,888,339
  • 6. Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/FakeSpypro Miscellaneous Trojans 1,244,353 1,423,528 Поддельный антивирус. Заражает систему с позволения пользователя. Запугивает и заставляет покупать поддельное ПО для лечения.
  • 7. Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/Alureon Miscellaneous Trojans 1,463,885 1,035,079 Предлагает поставить кодеки для проигрывания видео. Кто же откажется? Бесплатно! Вызывает BSOD при обновлении ОС
  • 8. Годовой Семейство Категория 1 кв 2010 2 кв 2010 график Win32/Zwangi Misc. Potentially Unwanted Software 542,011 859,801 Предлагает бесплатный скринсейвер. Устанавливается с разрешения пользователя.
  • 9. Семейство Категория 1 кв 2010 2 кв 2010 3 кв 2010 4 кв 2010 Pornpop Adware — — 2,660,061 3,860,365 Autorun Worms 1,256,649 Java Script вынуждает 1,646,532 2,805,585 3,314,092 Taterf Worms 1,496,780 пользователя кликнуть 2,323,750 2,338,517 1,615,649 Zwangi Misc. Potentially Unwanted Software 542,534 и установить 2,299,210 860,747 1,638,398 Renos Trojan Downloaders & Droppers 2,693,093 вредоносное ПО в 1,655,865 1,889,680 2,109,631 систему Rimecud Worms 1,809,231 1,749,708 1,674,975 1,892,919 Conficker Worms 1,498,256 1,664,941 1,649,934 1,744,986 FakeSpypro Miscellaneous Trojans 1,244,903 1,424,152 1,897,420 889,277 Hotbar Adware 1,015,659 1,483,289 942,281 1,640,238 ClickPotato Adware — — 451,660 2,110,117
  • 10. Годовой Семейство Категория 1Q10 2Q10 график Win32/Conficker Worms 1,496,877 1,663,349 Использует для распространения 3 уязвимости в Windows. В пике эпидемии доходил до 6,5 млн зараженных хостов. Обновление устраняющее уязвимость выпущено за 3 месяца до эпидемии! Более 90% клиентов обновилось в течении первой недели. Заражены те, кто не установили обновление в течении трех лет.
  • 11. 9 из 10 распространенных злонамеренных приложений устанавливаются в систему с согласия пользователя! По данным AVG Technologies заражение через социальную инженерии происходит в 4 раза чаще чем с помощью уязвимостей в ОС и приложениях любого производителя.
  • 12. Поддельный вебсайт с IE9 попал в топ поисковой выдачи Bing и Google за счет рекламы. Заблокирован IE9 SmartScreen Filter
  • 13.
  • 14.
  • 15. Тестировалось на 500000 машин с известными уязвимостями. Результативность заражения 31% 37% - Java JRE 32% - Adobe Reader и Acrobat 16% - Adobe Flash. 10% - Internet Explorer 3% - Apple QuickTime 2% - Центр справки и поддержки Windows Исследование CSIS http://www.theregister.co.uk/2011/09/28/window_malware_infection_exposed/
  • 16. Обнаружение зловредного ПО на каждую 1000 запусков антивируса Заражение руткитами по данным Avast Antivirus 74% - Windows XP 17% - Windows Vista 12% - Windows 7
  • 17. SEHOP SEHOP Включено по Heap Heap Критические уязвимости через Win7 умолчанию terminate terminate год после выпуска Выключено по DEP DEP 70 умолчанию ASLR ASLR 60 SEHOP SEHOP SEHOP 50 Vista Heap Heap Heap SP1, terminate terminate terminate 40 SP2 DEP DEP DEP 30 ASLR ASLR ASLR 20 SEHOP SEHOP Heap Heap 10 Vista terminate terminate 0 RTM DEP DEP Windows XP Windows Vista Windows 7 ASLR ASLR SEHOP SEHOP SEHOP Heap Heap Heap XP terminate terminate terminate SP3 DEP DEP DEP ASLR ASLR ASLR SEHOP SEHOP SEHOP Heap Heap Heap XP terminate terminate terminate SP2 DEP DEP DEP ASLR ASLR ASLR IE 6 IE 7 IE 8 IE 9
  • 18. Обучать пользователей защите от социальной инженерии. Smart Screen в Internet Explorer защищает от 99% социальных атак. Обновлять системы и приложения. Большинство атак выполняется с использованием очень старых уязвимостей Enhanced Mitigation Experience Toolkit (EMET) v2.0
  • 19. Работа в системе с правами обычного пользователя предотвращает атаки на: 75% - критических уязвимостей Windows 7 100% - уязвимостей Microsoft Office опубликованных в 2010 г. 100% - уязвимостей Internet Explorer опубликованных за 2010 г. 64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г. Исследование BeyondTrust за 2010 г
  • 20.
  • 21. Семейство Удалено в 1 кв 2010 Удалено в 2 кв 2010 Тенденция 1 Win32/Rimecud 1,807,773 1,748,260 -3.3% ▼ 2 Win32/Alureon 1,463,885 1,035,079 -29.3% ▼ 3 Win32/Hamweq 1,117,380 779,731 -30.2% ▼ 4 Win32/Pushbot 474,761 589,248 24.1% ▲ 5 Win32/IRCbot 597,654 388,749 -35.0% ▼ 6 Win32/Koobface 222,041 383,633 72.8% ▲ 7 Win32/FlyAgent 221,613 293,432 32.4% ▲ 8 Win32/Virut 227,272 284,519 25.2% ▲ 9 AutoIt/Renocide 167,041 178,816 7.0% ▲ 10 Win32/Hupigon 178,706 177,280 -0.8% ▼ 11 Win32/Sdbot 125,466 146,922 17.1% ▲ 12 Win32/Nuwar 8,098 133,951 1554.1% ▲ 13 Win32/Bubnix 91,144 132,771 45.7% ▲ 14 Win32/Zbot 107,363 131,078 22.1% ▲ 15 Win32/Ursap 121,239 121,302 0.1% ▲ 16 Win32/Rbot 145,107 110,316 -24.0% ▼ 17 Win32/Pasur 95,040 91,612 -3.6% ▼ 18 Win32/Rustock 82,712 52,312 -36.8% ▼ 19 Win32/Slenfbot 56,898 51,228 -10.0% ▼ 20 Win32/Bagle 48,326 34,240 -29.1% ▼ 21 Win32/Tofsee 29,367 32,031 9.1% ▲ 22 Win32/Bifrose 28,966 30,466 5.2% ▲ 23 Win32/Waledac 83,580 29,816 -64.3% ▼ 24 Win32/Prorat 26,913 25,726 -4.4% ▼ 25 Win32/Trenk 24,093 21,749 -9.7% ▼
  • 22. Ботов на 1000 Страна Удалено в 1 кв 2010 Удалено в 2 кв 2010 проверенных ПК 1 United States 2,163,216 2,148,169 5.2 2 Brazil 511,002 550,426 5.2 3 Spain 485,603 381,948 12.4 4 Korea 422,663 354,906 14.6 5 Mexico 364,554 331,434 11.4 6 France 344,743 271,478 4.0 7 United Kingdom 251,406 243,817 2.7 8 China 227,470 230,037 1.0 9 Russia 181,341 199,229 4.3 10 Germany 200,016 156,975 1.4 11 Italy 191,588 130,888 2.6 12 Turkey 91,262 98,411 4.7 13 Canada 96,834 87,379 1.4 14 Netherlands 115,349 77,466 2.5 15 Colombia 76,610 71,493 5.8 16 Portugal 83,379 68,903 5.7 17 Australia 72,903 66,576 2.8 18 Poland 87,926 62,704 3.9 19 Taiwan 52,915 54,347 3.4 20 Japan 63,202 52,827 0.6
  • 23. Psyb0t 100.000 ADSL зараженных маршрутизаторов Netcomm NB5. Заражает прошивки OpenWRT и DD-WRT. Подбирает пароли SSH, FTP, telnet Атакует phpMyAdmin и MySQL. Chuck Norris - Аналогичен PsyB0t + атакует ТВ приставки Ботнеты на Android от 40 до 150000 http://s1.securityweek.com/report-reveals-emerging-trend- android-botnet-infections http://www.xakep.ru/post/58265/default.asp
  • 24. 1) Злоумышленник создает зловред сам или покупает его 2) Доступ к части ботнета на рынке. Затем использует продается другим его для заражения целей злоумышленникам или продает другим. 3) Доступ к 4) Ресурсы ботнета ботнету используются для получен множества аттак одновременно 5) Свободные ресурсы используются для заражения и добавления новых узлов в ботнет
  • 25. Цена за тысячу зараженных компьютеров: • США и Великобритания – от 110$ до 180$. • Европа - от 20$ до 60$. • Другие страны - менее 10$. Цена варьируется в зависимости от того что можно найти на зараженных ПК и скорости подключения в Интернет.
  • 26. Ботнет комплекты в продаже: • Zbot (Zeus) • Spyeye • Mariposa • Black Energy • ButterFly • Reptile • Zombiem • Ice-X Цена на комплект варьируется от 10000$ до 5$. Справится даже ребенок!
  • 27.
  • 28. Аналог облачных вычислений: • Выполняет задачи нескольких заказчиков одновременно • Эластичен и представляет почти безграничные ресурсы • Оплата за потребляемые ресурсы
  • 29. Логины и пароли собранные ботами с зараженных систем
  • 30. IP адреса узлов Спам сообщений отправителей Lethic Lethic Rustock Rustock Cutwail Bobax Cutwail Grum Bobax Storm Grum Все остальные Все остальные
  • 31. Lethic крайне агрессивно рассылает спам с малого количества IP адресов. Rustock использует много IP адресов и шлет с каждого понемногу. За счет этого обнаружить Rustock сложнее.
  • 32.
  • 33. Другое IRC 30,5% 38.2% P2P 2.3% HTTP 29.1%
  • 34. • Судебный иск и захват С&C узлов • DDoS на С&C узлы • Жалобы провайдеру • Захват DNS имен • Блокирование IP адресов • Арест владельца ботнета
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 46. Без команд с C&C сервера боты впадают в спячку. MS не может удалить ботов с зараженных ПК. Это будет вмешательством в частную жизнь. Образцы ботов добавляются в антивирусные продукты MS и других производителей. Обмен образцами идет через Microsoft Active Protection Program (MAPP) Интернет провайдерам сообщаются адреса зараженных машин через программу Global Infrastructure Alliance for Internet Safety Пользователям рекомендуется использовать: Malicious Software Removal Tool Microsoft Safety Scanner Microsoft Security Essentials Постепенно боты удаляются антивирусами.
  • 47. Операция b49 Захват ботнета Waledac 1.5 миллиардов спам сообщений ежедневно. В процессе исследования найдено полмиллиона паролей от почтовых ящиков пользователей и ftp серверов. Операция b107 Захват ботнета Rustock. В пике своей активности рассылал 80% мирового спама. Примерно 2000 спам сообщений в секунду. Захват ботнета Coreflood ФБР при содействии Microsoft захватила ботнет Coreflood отвечающий за финансовые преступления на сумму 100 миллионов долларов Операция b79 Захват ботнета Kelihos Совместная операция Лаборатории Касперского и Microsoft. Kelihos можно назвать Waledac 2.0