Компания Microsoft чувствует свою ответственность за безопасность миллионов пользователей по всему миру, которые установили операционную систему Windows, а затем подхватили вирус и стали частью ботнета. Компания может удалённо зайти на их компьютеры и принудительно очистить их, но этого недостаточно, чтобы исключить заражение в будущем. Здесь нужен системный подход и неординарные меры.

В данный момент под контролем Microsoft находятся десять крупнейших ботнетов в интернете с десятками миллионов ничего не подозревающих пользователей. Об этом на конференции по безопасности Sector в Торонто рассказал Тим Рейнс (Tim Rains), главный советник по безопасности в подразделении Microsoft Worldwide Cybersecurity & Data Protection.

Тим Рейнс добавил, что захват контроля над ботнетами — часть стратегии, которая должна также обезопасить организации, использующие облачный хостинг Azure.

Он говорит, что для перевода под свой контроль командных серверов приходится применять креативные действия. Чтобы добиться решения суда, Microsoft использует тот факт, что ботнеты, среди всего прочего, рассылают спам с предложением купить пиратские копии программного обеспечения Microsoft. Поэтому компания в суде выдвигает аргумент о нарушении торговой марки. На этом основании она просит временно приостановить работу сервера и передать его под её контроль, чтобы остановить рассылку спама и дальнейшее неправомерное использование торговой марки. Судья даёт согласие и передаёт дело в открытый суд, где владелец сервера может оспорить решение и вернуть себе контроль. Естественно, владельцы ботнетов никогда не появляются в суде и не собираются ничего оспаривать.

Такой хитрый трюк Microsoft применила несколько раз за последние годы, сказал Рейнс. Теперь под контролем компании находится десять крупнейших ботнетов в интернете, в которые входит 60-70 миллионов компьютеров, включая известные ботнеты Zeus и Rustock.

Что происходит дальше? Вместо DDoS-атак, рассылки спама и вредоносного программного обеспечения Microsoft использует ботнеты для мониторинга заражённых систем. Боты связываются с командными серверами, ожидая получения новых команд, так что Microsoft знает IP-адреса заражённых компьютеров. Это ценная информация для компаний и государственных организаций, которые хотят знать, скомпрометированы ли рабочие компьютеры их сотрудников.

Microsoft не занимается такими расследованиями, но загрузила список IP-адресов в облако Azure и подключила его к программным интерфейсам Azure Active Directory, так что у пользователей облачного сервиса теперь выводится сообщение, если какой-то из их IP-адресов входит в список с заражёнными компьютерами.

Интернет-провайдеры тоже могут использовать новый сервис от Microsoft, вычисляя своих заражённых пользователей и ограничивая им доступ в интернет, пока те не установят антивирусный софт.

Тим Рейнс объяснил, что Microsoft могла бы просто отключить командные серверы и уничтожить ботнеты, но не делает этого из заботы о пользователях. Дело в том, что если человек допустил заражение своего компьютера однажды, то это произойдёт повторно, если он не установит антивирус и обновления Windows, поэтому компания продолжает мониторинг, чтобы убедиться в защищённости своих пользователей.

Кроме контроля над ботнетами, сказал Рейнс, компания Microsoft покупает на подпольных форумах у хакеров базы данных с украденными паролями, которые тоже обычно собраны с помощью ботнетов. Иногда такие базы достаются в результате операций правоохранительных органов: в прошлом году накрыли криминальную группировку, во владении которой был файл с более чем 1 миллиардом паролей. Всё это богатство тоже загружают в Azure Active Directory для информирования пострадавших пользователей.

Microsoft — одна из немногих компаний, которая ведёт реальную борьбу против киберпреступности не только в онлайне, но и в офлайновом мире, помогая проводить облавы агентам ФБР, Европола и полиции в разных странах мира.

Комментарии (9)


  1. nerudo
    25.10.2015 23:04
    +14

    Вспомнился какой-то анекдот или фанфик про Штирлица, где вся ставка Гитлера — советские разведчики.


    1. OldFisher
      26.10.2015 18:54
      +1

      Идея растёт, предположительно, отсюда: Человек, который был Четвергом.


  1. FoxF
    25.10.2015 23:04
    +8

    Так вот для чего все эти уязвимости в windows?


    1. baldr
      26.10.2015 15:16

      Конечно. «Ошибка о которой вы сообщаете не может быть исправлена, потому что наш ботнет работает через нее. Кстати, пожалуйста, запустите еще один Internet Explorer, потому что первого не хватает. И спасибо за фото с котиками, которое вы послали своей бабушке — мы очень смеялись».


  1. nullptr
    26.10.2015 01:12

    Тим Рейнс объяснил, что Microsoft могла бы просто отключить командные серверы и уничтожить ботнеты, но не делает этого из заботы о пользователях.
    Это настолько шаблонное и затертое до дыр вранье, что уже читать смешно. Ну, наглость, как говорится, второе счастье.


    1. Loki3000
      27.10.2015 12:10
      -1

      Как посмотреть: отключат командный сервер — ботнет перейдет на резервный. Попробуй потом снова контроль за ним верни. А так — все зомби наготове, но ничего не делают… Ну разве что сливают немного личных данных майкрософту… но вроде как такое поведение уже по умолчанию встроено в последнюю версию операционки:)


      1. nullptr
        27.10.2015 12:19
        -1

        Ну, в одни очень популярные васянские сборочки XP еще и не такое поведение было встроено «по умолчанию». :) Цимес именно в том, что то-ли Ализар, то-ли Майкрософт имеют наглость сначала рассказать, что они получают от владения ботнетом прямую выгоду, а в следующем абзаце заявить, что делают они это все исключительно «ради балага пользователей». Кто-то держит своих читателей за идиотов.


  1. VBKesha
    26.10.2015 10:33

    Это сейчас 10 версий виндовс в ходу?


  1. OLS
    26.10.2015 21:57
    +2

    1. Что мне как гипотетическому представителю Интернет-провайдера нужно сделать, чтобы получить список IP моих зараженных клиентов?
    2. Сколько это будет стоить?