3 Февраля, 2013

Первый ход

InfoWatch
Разведывательный ботнет, в отличие от коммерческого (спам, DoS-атаки, хищения в ДБО), должен оставаться необнаруженным долгое время. Должен и может. Ведь антивирусы пользуются в основном сигнатурным методом и очень слабы в эвристических и статистических методах. Поэтому пока нет сигнатуры, компьютерная зараза может безнаказанно резвиться месяцами. А сигнатуры не будет, пока образец не попадёт в руки антивирусным аналитикам. А он не попадёт, пока ботнет не проявит себя.
Вирус всегда ходит первым
Вирус всегда ходит первым.

Коммерческие ботнеты проявляются сразу. Военные (если таковые существуют) – спят до момента "Ч". А разведывательные действуют очень осторожно, не пытаются заразить всех подряд, расходуют захваченный ресурс крайне экономно, могут вообще покинуть зараженный компьютер, если он принадлежит простому пользователю.

У владельца разведывательного ботнета есть время и возможности на подготовку ряда полезных трюков. Например, когда становится известна уязвимость, через которую он распространялся, её выводят из употребления, заменяя новой, подготовленной заранее. Собрав информацию с интересующих нас объектов (скажем, провайдеров России) можно вывести оттуда своих киберагентов и ввести их на объекты, которые нам не интересны (к примеру, органы госуправления США), после чего сдать ботнет. Ведь в должный срок он всё равно выработает свой ресурс, морально устареет, станет обречён на детектирование. К чему задаром пропадать? Отработанный шпионский троян можно с выгодой продатьобщественному мнению как вражеский. А если ненавязчиво вставить в код парочку слов типа "Matryoshka"или "Balalaika", то публике сразу станет ясно, кто тут главный злохакер.

Момент обнаружения разведывательного ботнета выбирает его хозяин.Когда захочет, тогда и подкинет "независимым" антивирусникам наводящие данные. А дальше те уже сами всё что надо раскопают. Код разберут. Текущий ареал распространения проанализируют. И доложат мировой общественности. Вот вам и казус белли. Или бюджетные ассигнования.

или введите имя

CAPTCHA
FEDOTOV-LOL
3 Февраля, 2013
Хватит писать бредятину, разведывательный ботнет б )))))))
0 |
3 Февраля, 2013
Отсюда следует прямой вывод: для обнаружения подобных ботнетов, неопознанный софт должен отправляться антивирусом (или безопасниками) в вирлабы для анализа превентивно, ещё до того, как он себя проявит. Но что делать, если и антивирусные лаборатории не истинно независимы и тоже пляшут под чью надо указку, к примеру, придерживая до времени "Д" дату публикации сигнатур?
0 |
3 Февраля, 2013
Пардон, это к основному сообщению коммент должен был быть.
0 |
Гость
4 Февраля, 2013
Из истории с "красным октябрем" просто следует, что на критических объектах должны быть собственные грамотные спецы, которые могут без услуг антивирусных компаний обнаружить в системе закладку.
0 |
5 Февраля, 2013
Фактически, для самостоятельного обнаружения закладок, нужно иметь собственный антируткит и собственную базу чистых файлов. Накладненько. Газпром, может, и потянет, но никак не рядовой бизнес.
0 |
Гость
5 Февраля, 2013
На самом деле не все так плохо. Достаточно иметь полученный с соблюдением определенных процедур LiveCD, в этом случае руткиты можно обнаружить намного проще. Несколько сложнее с эталонными файлами. Опять таки, если обновления ставить не автоматом, а "руками" на тестовой системе - то будет и база чистых системных файлов. Процедура при этом должна соблюдаться неукоснительно - как антисептика в хирургии. Естественно, вопрос закладки в БИОС'е в виде супервизора подобным способом не решить, однако, насколько я понимаю, этот ворос сейчас не решен в принципе.
0 |
6 Февраля, 2013
> Достаточно иметь полученный с соблюдением определенных процедур LiveCD, в этом случае руткиты можно обнаружить намного проще. Это если Вы анализируете конкретную машину, в отношении которой есть подозрение на руткит. А как решить задачу контроля всей сети без постоянного обхода рабочих станций с LiveCD?
0 |
Гость
6 Февраля, 2013
Реально против подобных угроз - практически никак. Можно мониторить внешнюю сетевую активность с машин, с которых ее не должно быть, а потом - уже ручным методом с LiveCD. В принципе пытаться диагностировать на заразу средствами самой потенциально зараженной машины - неверно.
0 |
6 Февраля, 2013
Вы правы для изначально заражённой машины. В ситуации же, когда защитное ПО изначально установлено на чистой машине, оно может принять участие в предотвращении заражения, к примеру, при помощи поведенческого анализа или защиты критических областей ОС от повреждения. Как показывает практика, подобный функционал зловредам обходить достаточно тяжело. Также, полагаю, в скором времени антивирусы (точнее, антируткиты) разовьются до полноценных гипервизоров, и тогда на их надёжность можно будет полагаться абсолютно смело.
0 |
TSh
4 Февраля, 2013
Ну если учесть, что каждая действительно новая мысль проходит три стадии: - это бред!!! - по-моему, в этом что-то есть... - ну кто же этого не знает! то допущения Н.Н.Федотова вполне логичны и имеют полное право на существование. Зачем так бурно реагировать? А если их принять, то тогда интереснее становятся не традиционные антивирусные механизмы, а методы контроля целостности аппаратных прошивок и программной среды.
0 |
Гость
6 Февраля, 2013
Полностью согласен. А меня ещё привлекает краткость описания мыслей. Всё чётко и по делу. Так держать. Нежелающие думать - идут лесом.
0 |
Voroshek
4 Февраля, 2013
Следствие из бритвы Оккама:
"Всему бывает простое (в исходнике "а зачастую и глупое") объяснение. Действительно, если предположить что шпионская сеть (ну мы все поняли, на какую сеть намекает статья) создана с участием "гениального учёного", который её обнаружил то многое проясняется, например, почему владельцы сети не были вычислены
0 |