Microsoft контролирует десять крупнейших ботнетов и скупает на чёрном рынке базы с украденными паролями

Компания Microsoft чувствует свою ответственность за безопасность миллионов пользователей по всему миру, которые установили операционную систему Windows, а затем подхватили вирус и стали частью ботнета. Компания может удалённо зайти на их компьютеры и принудительно очистить их, но этого недостаточно, чтобы исключить заражение в будущем. Здесь нужен системный подход и неординарные меры.

В данный момент под контролем Microsoft находятся десять крупнейших ботнетов в интернете с десятками миллионов ничего не подозревающих пользователей. Об этом на конференции по безопасности Sector в Торонто рассказал ^[1] Тим Рейнс (Tim Rains), главный советник по безопасности в подразделении Microsoft Worldwide Cybersecurity & Data Protection.

Тим Рейнс добавил, что захват контроля над ботнетами — часть стратегии, которая должна также обезопасить организации, использующие облачный хостинг ^[2] Azure.

Он говорит, что для перевода под свой контроль командных серверов приходится применять креативные действия. Чтобы добиться решения суда, Microsoft использует тот факт, что ботнеты, среди всего прочего, рассылают спам с предложением купить пиратские копии программного обеспечения Microsoft. Поэтому компания в суде выдвигает аргумент о нарушении торговой марки. На этом основании она просит временно приостановить работу сервера и передать его под её контроль, чтобы остановить рассылку спама и дальнейшее неправомерное использование торговой марки. Судья даёт согласие и передаёт дело в открытый суд, где владелец сервера может оспорить решение и вернуть себе контроль. Естественно, владельцы ботнетов никогда не появляются в суде и не собираются ничего оспаривать.

Такой хитрый трюк Microsoft применила несколько раз за последние годы, сказал Рейнс. Теперь под контролем компании находится десять крупнейших ботнетов в интернете, в которые входит 60-70 миллионов компьютеров, включая известные ботнеты Zeus и Rustock.

Что происходит дальше? Вместо DDoS-атак, рассылки спама и вредоносного программного обеспечения Microsoft использует ботнеты для мониторинга заражённых систем. Боты связываются с командными серверами, ожидая получения новых команд, так что Microsoft знает IP-адреса заражённых компьютеров. Это ценная информация для компаний и государственных организаций, которые хотят знать, скомпрометированы ли рабочие компьютеры их сотрудников.

Microsoft не занимается такими расследованиями, но загрузила список IP-адресов в облако Azure и подключила его к программным интерфейсам Azure Active Directory, так что у пользователей облачного сервиса теперь выводится сообщение, если какой-то из их IP-адресов входит в список с заражёнными компьютерами.

Интернет-провайдеры тоже могут использовать новый сервис от Microsoft, вычисляя своих заражённых пользователей и ограничивая им доступ в интернет, пока те не установят антивирусный софт.

Тим Рейнс объяснил, что Microsoft могла бы просто отключить командные серверы и уничтожить ботнеты, но не делает этого из заботы о пользователях. Дело в том, что если человек допустил заражение своего компьютера однажды, то это произойдёт повторно, если он не установит антивирус и обновления Windows, поэтому компания продолжает мониторинг, чтобы убедиться в защищённости своих пользователей.

Кроме контроля над ботнетами, сказал Рейнс, компания Microsoft покупает на подпольных форумах у хакеров базы данных с украденными паролями, которые тоже обычно собраны с помощью ботнетов. Иногда такие базы достаются в результате операций правоохранительных органов: в прошлом году накрыли криминальную группировку, во владении которой был файл с более чем 1 миллиардом паролей. Всё это богатство тоже загружают в Azure Active Directory для информирования пострадавших пользователей.

Microsoft — одна из немногих компаний, которая ведёт реальную борьбу против киберпреступности не только в онлайне, но и в офлайновом мире, помогая проводить облавы агентам ФБР, Европола и полиции в разных странах мира.

Автор: alizar

Источник ^[3]