Доброго времени суток уважаемое хабрасообщество, по просьбам хабровчан решил поделится некоторыми своими наработками борьбы с ддосом на основании личного практического опыта отражения атак.
В данной статье не будет очередного нового способа, как защититься от ддоса своими силами, информации по этому предостаточно. Мы зайдем немного с другой стороны.
Как говорится лучшая защита — нападение. Вот мы и будем с вами наносить удар по самому больному месту ддосеров — по ботам. Дополнительным приятным бонусом для нас будет то, что мы сделаем доброе дело и освободим хоть какую-то часть зараженных машин из плена злых ботнетчиков.
Понятно, что ботнет нам не убить, однако нанести порой вполне существенный удар можно, особенно если основную часть ботнета составляют дедики с руткитами, которые порой создают основную проблему при отражении атаки. Ну и кулхацкеру васе с его сотней кровью и потом добытых ботов тоже можно очень неплохо напакостить. Ибо боты, особенно на хороших каналах и из хороших регионов, стоят денег и порой немалых. Если они начнут дохнуть от посыпавшихся абуз, ддосерам может быть накладно продолжать ддосить вас и они могут повысить цену для заказчика или вообще приостановить атаку. Намного проще ддосить того, от кого не будет лишнего шума.

Каждый раз, когда очередной ботнет оказывается побежден совместными силами частных компаний и правительственных организаций — ему на смену приходит следующий, более продвинутый и изощренный. Как и в дикой природе — среди компьютерных вирусов и прочего вредоносного ПО, всегда побеждает сильнейший.

Kaspersky Lab проанализировала деятельность одного из самых интересных ботнетов, активно функционирующих в настоящее время — т.н. Alureon, построенного на базе руткита TDL-4 (о котором на Хабре недавно писала в своем блоге компания Eset). А посмотреть здесь, действительно, есть на что — ведь архитектура ботнета и лежащей в его основе технологии была моментально охарактеризована различными Интернет-изданиями, как «неразрушимая». 4,5 миллиона зараженных машин тоже дают намек на силу используемой архитектуры.

Собственно, TDL-4 был изначально спроектирован с целью избежать уничтожения или удаления — силами закона, антивирусной программы или конкурирующими ботнетами. При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО, для того чтобы пользователь машины не заметил странного поведения машины и не попытался восстановить ее нормальную работу. Цель ясна как белый день — руткит старается оставаться незаметным, ведь в большинстве ситуаций именно пользователь, а не программа, замечает изменения в работе компьютера (резкие «выбросы» пакетов с данными, снижение производительности и т.д.).

Для того, чтобы мимикрия была максимально эффективной, руткит (а точнее — буткит) инфицирует раздел главной загрузочной записи жесткого диска (MBR), ответственной за загрузку операционной системы. Это значит, что код руткита загружается еще до ОС, не говоря об анти-вирусе, что делает его нахождение и удаление еще более нетривиальной задачей. TDL-4 так же шифрует сетевой траффик с помощью SSL для того чтобы избежать обнаружения другими программами, как полезными, так и вредоносными.

После прикрытия Rustock силами Microsoft и правоохранительных органов количество спама в интернете снизилось на 33,6%. В первой половине марта каждый день Rustock рассылал 13,82 млрд спамерских писем, а на пике своей активности в конце прошлого года он генерировал 47,5% всего спама в интернете.

Теперь Rustock закрыт, но свято место пусто не бывает.

В последнее время со стороны компаний, занимающихся цифровой безопасностью, стало довольно модно сообщать об успешных операциях по закрытию ботнетов и аресту их владельцев. Так, закрыли Bredolab — и об это не написали только ленивые.

Цель этой статьи — показать, что далеко не всё так гладко в Датском королевстве.

Автор не претендует на исчерпывающую информацию, но в любом случае полезно знать о провалах антивирусной индустрии.

ZDNet сообщает, что эксперты обнаружили на сегодняшний день на серверах Waledac почти 500 тыс. паролей от POP3-серверов и около 120 тыс. паролей от FTP-аккаунтов.

На китайских сайтах обнаружен интересный новый троян, который в английском варианте назвали Geinimi.

По признанию специалистов Lookout Mobile Security, «это самое изощрённое вредоносное ПО для Android среди всего, что попадалось до настоящего времени», потому что в предыдущих троянах не использовались такие способы маскировки. В частности, в Geinimi имеется готовый обфускатор байткода, а части программы зашифрованы, что существенно затрудняет исследователям возможности для анализа программы.

Причем не только нашли, но и закрыли три главных управляющих сервера известного многим ботнета Koobface. Эксперты из Великобритании считают, что этот ботнет принадлежит «русскоязычным киберпреступникам». Сервера, как оказалось, были остановлены еще в пятницу вечером, что нанесло ощутимый вред «русскому» ботнету.

Microsoft сообщает в корпоративном блоге, что с момента обновления утилиты Malicious Software Removal Tool (MSRT) она удалила 281 491 копию трояна Zeus с 274 873 заражённых Windows-систем. Таким образом, самый крупный в интернете ботнет потерял какую-то часть своих зомби.

Поддержка сигнатур Zeus/Zbot была добавлена в бесплатную программу MSRT в прошлый вторник 12 октября. Статистика приведена по состоянию на воскресенье, то есть на очистку четверти миллиона компьютеров понадобилось пять дней.