Злоупотребление доменными именами разрастается; мошенники-регистраторы закрывают на это глаза
Для легального бизнеса доменное имя - это способ повесить гальку в киберпространстве. В криминальном мире доменные имена являются ключевой частью ботнетов и фишинговых операций, и киберпреступники грабят регистраторов доменных имен по всему миру, чтобы получить их.
10 самых разыскиваемых ботнетов Америки
Преступники накапливают доменные имена, регистрируя их под фальшивой информацией, расплачиваясь украденными кредитными картами или трудно отслеживаемыми цифровыми валютами, такими как eGold, и взлом законных учетных записей доменных имен. Чтобы добавить к проблеме злоупотребления доменными именами, некоторые регистраторы-мошенники часто смотрят в другую сторону, когда деньги накатывают.
” Это абсолютно большая проблема",-говорит Бен Батлер, директор по сетевым злоупотреблениям Go Daddy, регистратора доменных имен в Аризоне, который уполномочен интернет-корпорацией на присвоение имен и номеров и соответствующими аккредитованными ICANN реестрами продавать доменные имена на основе общих доменов верхнего уровня (gTLD), включая .com,. aero,. info,. name и .net.
Go Daddy имеет 36 миллионов доменных имен под управлением для более чем 6 миллионов клиентов, что делает его одним из крупнейших регистраторов по всему миру. Он ведет круглосуточную борьбу за выявление злоупотреблений доменными именами, и если доменное имя будет определено для использования во вредных целях, Go Daddy по существу “убьет доменное имя”, говорит Батлер. (См. соответствующую статью “Как регистраторы борются со злоупотреблениями доменными именами”)
В процессе приостановки вредоносный домен перенаправляется на неразрешающий сервер, который выдает сообщение об ошибке. Это предпочтительный процесс вместо прямой отмены, так как не всегда ясно, кто является владельцем вредоносного домена. ” Мы расследуем буквально тысячи жалоб на доменные имена каждую неделю", - говорит Батлер. “И мы приостанавливаем сотни доменных имен в неделю.”
Несмотря на все эти усилия, преступники все еще проскальзывают через сеть, отчасти потому, что регистрационные службы высоко автоматизированы, процессы проверки недостаточны, а преступники скрытны, решительны и технически подкованы.
Исследователь ScanSafe Мэри Ландесман в прошлом месяце обнаружила доказательства того, что несколько доменов Go Daddy были обработаны для использования в трех различных атаках SQL-инъекций, контролируемых ботнетами, против веб-сайтов в Индии, США и Китае.
Но большая проблема заключается не в Go Daddy, которая имеет хорошую репутацию для борьбы со злоупотреблениями доменными именами, говорит Ландесман. Скорее, проблема охватывает всю систему регистрации доменных имен, а также неисправную базу данных Whois информации о владельцах регистраций (контролируемую ICANN), которая содержит поддельные данные, даже полную тарабарщину.
” Он не специально предназначен для такого рода злоупотреблений, но он работает в пользу преступников", - отмечает Ландесман. Эффективная реформа процесса регистрации доменных имен нанесет удар по самому сердцу интернет-преступности, говорит она.
Апелляция на доменное имя
Преступники которые вдохновители ботнетов для спама, фишинга и атак типа “отказ в обслуживании” стали полагаться на доменные имена, потому что это дает им "стабильность" в управлении, говорит Джо Стюарт, исследователь из компании SecureWorks в Атланте. "Все боты могут сопоставить новый IP-адрес, когда он появится.”
“Было бы гораздо менее удобно использовать IP-адрес”, - говорит Амичай Шульман, технический директор Imperva, поскольку это, как правило, ограничивает преступников более конкретным набором серверов.
Многие отмечают, что преступники сегодня могут быть замечены, используя то, что известно как “быстрый поток”, чтобы вращать ботнет через “тысячи IP-адресов, используя один домен или группу доменов”, говорит Дин Тернер, директор глобальной разведывательной сети Symantec. - Он предназначен для уничтожения черных списков IP-адресов.”
"Доменные имена легко переносимы", - говорит Сэм Масьелло, директор по управлению угрозами McAfee. "Они используют fast flux для доставки контента.”
В докладе, опубликованном в мае, подчеркивается роль доменных имен в фишинговой киберпреступности. Доклад рабочей группы по борьбе с фишингом “глобальное исследование фишинга: тенденции и использование доменных имен во 2-м полугодии 2008 года” показывает, что за этот период было совершено 56 959 фишинговых атак на 30 454 уникальных доменных имени.
В рамках этого числа “мы идентифицировали 5591 объект, который, по нашему мнению, был зарегистрирован фишерами”, говорится в отчете. "Эти" вредоносные " домены составляют около 18,5% доменных имен, вовлеченных в фишинг. Практически все остальные были взломаны доменами, принадлежащими невинным владельцам сайтов.”
В докладе отмечается, что число фишинговых методов, основанных на уникальных IP-адресах, а не доменных именах, неуклонно снижается-с 6336 в первой половине 2007 года до всего лишь 2809 уникальных IP-адресов во второй половине прошлого года.
Еще одна тенденция, согласно отчету, заключается в том, что фишеры используют так называемые “услуги регистрации поддоменов” через провайдеров, которые предоставляют клиентам поддоменные “учетные записи хостинга” под доменным именем, принадлежащим провайдеру. Эта практика может быть смягчена только самими поставщиками поддоменов, “и некоторые из этих услуг не реагируют на жалобы", говорится в докладе.
Это выводит проблему на другой уровень, особенно для ICANN, которая не имеет очевидных полномочий за пределами своих прямых договорных отношений с регистраторами и реестрами в управляемом ICANN мире доменных имен.
Поддомены сейчас составляют около 12% всех доменов, вовлеченных в фишинг, причем российский провайдер freemail Pochta.ru и французский хостинг-провайдер Wistee.fr говорят, что это самые злостные нарушители среди 360 поставщиков регистрации поддоменов. Тем не менее, в отчете отмечается, что домен .com по-прежнему оценивается как самый крупный отдельный дву, пользующийся поддержкой фишеров, на долю которого приходится 46% фишинговых доменов, отслеживаемых за этот период.
ICANN отвечает
VeriSign, авторитетный аккредитованный ICANN реестр для .com и .net, отказался обсуждать тему злоупотребления доменными именами. ICANN признает проблему злоупотребления доменными именами со стороны преступного мира, но ее политика все еще развивается, и существует много неопределенностей относительно полномочий ICANN в этой области.
"Преступная деятельность, связанная со злоупотреблением доменными именами, является огромной проблемой для ICANN", - говорит Стейси Бернетт, директор отдела соблюдения договорных обязательств компании Marina Del Ray, Калифорния.-базовая организация. - Это нарушает работу системы.”
Вершину айсберга можно увидеть в нерегулярностях в базе Whois. ICANN получает тысячи жалоб на регистраторов каждый год, многие из которых связаны с предполагаемыми недостатками или неверной информацией в базе данных Whois. ICANN должна изучить их все, а затем связаться с регистраторами, чтобы сообщить и устранить любые выявленные недостатки.
Но когда речь заходит о более широкой проблеме злоупотребления доменными именами киберпреступниками, ICANN сегодня не в состоянии играть роль полицейского. "ICANN-некоммерческая организация, мы не являемся регулирующим органом или полицейским органом”, - указывает Бернетт.
Но ICANN провела совещания, в том числе “семинар по политике злоупотребления регистрацией организаций, поддерживающих общие имена”, который состоялся в Мексике в марте, чтобы обсудить политику и руководящие принципы, которые она, возможно, захочет принять в отношении злоупотребления доменами и злоупотреблений регистрацией.
Дэйв Пишителло, старший технолог ICANN по безопасности, который работает над такими вопросами, говорит, что ICANN планирует представить в октябре предложение о возможных новых руководящих принципах для более жесткой безопасности в преддверии запланированного ICANN расширения новых рдву http://www.networkworld.com/news/2009/062409-icann-new-domains.html в следующем году.
Хотя он не имеет права обсуждать конкретные детали, он указывает, что это предложение должно будет пройти проверку всем сообществом ICANN и выдержать критику, прежде чем оно получит какой-либо шанс быть принятым правлением ICANN.
“Мы больше фокусируемся на вопросах регистрации и злонамеренном поведении”, - говорит Пишителло. “Я не думаю, что кто-то хочет видеть, как злоупотребляют DNS.”
VeriSign, отмечает он, недавно предложила добавить службу строгой аутентификации для регистраторов и владельцев регистраций для двухфакторной аутентификации. Другие идеи, такие как требование аудита регистраторов, определенно находятся на столе в ICANN, говорит Пискителло.
Но он отмечает, что сообщество ICANN является широким, состоящим из стран, которые имеют больше влияния на то, как используются их домены верхнего уровня с кодом страны (ccTLD), чем ICANN. “Мы можем подать пример с рдву, но только совместные усилия со всеми правительствами могут решить эту проблему.”
Между тем, комитет ICANN в прошлом месяце опубликовал 154-страничный документ. доклад на тему быстрого потока и преступного злоупотребления доменными именами. Как и любой документ, он сам по себе не обязательно означает изменение, но ICANN отмечает, что это может привести к тому, что организация “рассмотрит вопрос о том, могут ли положения политики злоупотреблений регистрацией решить проблему fast flux, предоставив реестрам/регистраторам право удалять доменное имя, вовлеченное в вредоносный или незаконный fast flux.”
Пишителло говорит, что до сих пор не было достигнуто консенсуса относительно того, что делать по этому вопросу. Методы обнаружения для раскрытия преступного быстрого потока достаточно надежны, но были высказаны опасения по поводу ответственности в случае ложных срабатываний.
Доменное имя может быть удобным инструментом в киберпреступности сегодня, “но одна из целей сообщества DNS состоит в том, чтобы вытащить этот инструмент из набора инструментов”, - сказал он.
Внесение изменений
Существует множество языковых и юрисдикционных юридических проблем, которые чрезвычайно затрудняют решение проблем злоупотребления доменными именами, говорит Рам Мохан, технический директор Дублинского поставщика регистрационных услуг Afilias и представитель Консультативного комитета ICANN по безопасности и стабильности (SSAC) в Совете директоров ICANN.
По его мнению, ICANN, которая несет общую ответственность за базу данных Whois регистрационной информации, должна найти способ проверить эти записи.
“Некоторые правила в ICANN просто нарушены", - говорит Мохан. Общая система регистрации доменных имен " была создана во времена доброкачественного Интернета. Сегодня у нас нет бремени проверки, и это можно исправить.- Он также говорит, что было бы разумно потребовать проведения какого-то аудита безопасности регистраторов и реестров.
Некоторые сомневаются, что ICANN действительно обладает полномочиями или волей должным образом контролировать систему, которую она контролирует. Стюарт из SecureWorks, например, считает, что национальные сертификаты, зафрахтованные в каждой стране для реагирования на чрезвычайные ситуации и предупреждения о безопасности, должны быть расширены для координации реагирования на киберпреступность, такую как злоупотребление доменными именами.
Мохан говорит, что он надеется, что некоторые реформы могут быть проведены до того, как ICANN приступит к реализации своих планов в следующем году по созданию целого нового набора доменов верхнего уровня. "ICANN открывает шлюзы для доменов верхнего уровня", - говорит Мохан. Если система регистрации доменных имен не может быть улучшена, проблема злоупотреблений может только усугубиться.
Попытки промышленности перекрыть преступный доступ к доменным именам оказываются трудными. Первая глобально организованная попытка сделать это-рабочая группа Conficker-была направлена на то, чтобы отключить Домены, предназначенные червем Conficker для использования в его системе командования и управления. Но после шести месяцев попыток это уже не так заметно.
"Снимаю шляпу перед Microsoft за организацию этого", - говорит Neustar'S Neuman. Neustar присоединилась к рабочей группе Conficker вместе с другими компаниями, имеющими определенную власть влиять на систему доменных имен, включая VeriSign, Afilias, Public Internet Registry, Global Domains International, ICANN и китайскую CNNIC, в том числе поставщика услуг безопасности Symantec.
Но сложная бот-сеть Conficker-теперь довольно тихая за пределами попыток продать поддельное антивирусное программное обеспечение-остается неизменной как командно-контрольная структура около 4,5 миллионов скомпрометированных компьютеров, которые она спокойно держит в качестве зомби.
Рабочая группа Conficker, несмотря на усилия по объединению миллионов доменных имен, которые Conficker был запрограммирован использовать, была обойдена с фланга, когда дизайнеры ботнета переключились на ccTLD в США .Версия Conficker на языке Си появилась в начале этого года.
Рабочая группа Conficker не смогла собрать достаточное количество участников ccTLD, чтобы эффективно связать Домены Conficker. “У нас есть 90% ccTLD partipating, но 10% не участвуют”, - говорит Тернер из Symantec.
” Это не сработало",-говорит Дэн Холден, менеджер по продуктам X-Force в подразделении IBM Internet Security Systems .
Microsoft, которая предложила награду в размере 250 000 долларов за информацию, ведущую к аресту и осуждению лиц, ответственных за Conficker, заявила в своем заявлении, что рабочая группа Conficker установила “новый уровень отраслевого сотрудничества и сотрудничества” для быстрого реагирования и метода защиты, и что расследование Conficker все еще продолжается.
Пискителло ICANN говорит, что важность рабочей группы Conficker заключается в том, что она “продемонстрировала, что если мы добьемся значительного сотрудничества, то сможем причинить немного боли преступнику, сделать его более трудным. Его успех заключается в создании совместной реакции.”
Дата публикации: 10 самых разыскиваемых ботнетов Америки
Преступники накапливают доменные имена, регистрируя их под фальшивой информацией, расплачиваясь украденными кредитными картами или трудно отслеживаемыми цифровыми валютами, такими как eGold, и взлом законных учетных записей доменных имен. Чтобы добавить к проблеме злоупотребления доменными именами, некоторые регистраторы-мошенники часто смотрят в другую сторону, когда деньги накатывают.
” Это абсолютно большая проблема",-говорит Бен Батлер, директор по сетевым злоупотреблениям Go Daddy, регистратора доменных имен в Аризоне, который уполномочен интернет-корпорацией на присвоение имен и номеров и соответствующими аккредитованными ICANN реестрами продавать доменные имена на основе общих доменов верхнего уровня (gTLD), включая .com,. aero,. info,. name и .net.
Go Daddy имеет 36 миллионов доменных имен под управлением для более чем 6 миллионов клиентов, что делает его одним из крупнейших регистраторов по всему миру. Он ведет круглосуточную борьбу за выявление злоупотреблений доменными именами, и если доменное имя будет определено для использования во вредных целях, Go Daddy по существу “убьет доменное имя”, говорит Батлер. (См. соответствующую статью “Как регистраторы борются со злоупотреблениями доменными именами”)
В процессе приостановки вредоносный домен перенаправляется на неразрешающий сервер, который выдает сообщение об ошибке. Это предпочтительный процесс вместо прямой отмены, так как не всегда ясно, кто является владельцем вредоносного домена. ” Мы расследуем буквально тысячи жалоб на доменные имена каждую неделю", - говорит Батлер. “И мы приостанавливаем сотни доменных имен в неделю.”
Несмотря на все эти усилия, преступники все еще проскальзывают через сеть, отчасти потому, что регистрационные службы высоко автоматизированы, процессы проверки недостаточны, а преступники скрытны, решительны и технически подкованы.
Исследователь ScanSafe Мэри Ландесман в прошлом месяце обнаружила доказательства того, что несколько доменов Go Daddy были обработаны для использования в трех различных атаках SQL-инъекций, контролируемых ботнетами, против веб-сайтов в Индии, США и Китае.
Но большая проблема заключается не в Go Daddy, которая имеет хорошую репутацию для борьбы со злоупотреблениями доменными именами, говорит Ландесман. Скорее, проблема охватывает всю систему регистрации доменных имен, а также неисправную базу данных Whois информации о владельцах регистраций (контролируемую ICANN), которая содержит поддельные данные, даже полную тарабарщину.
” Он не специально предназначен для такого рода злоупотреблений, но он работает в пользу преступников", - отмечает Ландесман. Эффективная реформа процесса регистрации доменных имен нанесет удар по самому сердцу интернет-преступности, говорит она.
Апелляция на доменное имя
Преступники которые вдохновители ботнетов для спама, фишинга и атак типа “отказ в обслуживании” стали полагаться на доменные имена, потому что это дает им "стабильность" в управлении, говорит Джо Стюарт, исследователь из компании SecureWorks в Атланте. "Все боты могут сопоставить новый IP-адрес, когда он появится.”
“Было бы гораздо менее удобно использовать IP-адрес”, - говорит Амичай Шульман, технический директор Imperva, поскольку это, как правило, ограничивает преступников более конкретным набором серверов.
Многие отмечают, что преступники сегодня могут быть замечены, используя то, что известно как “быстрый поток”, чтобы вращать ботнет через “тысячи IP-адресов, используя один домен или группу доменов”, говорит Дин Тернер, директор глобальной разведывательной сети Symantec. - Он предназначен для уничтожения черных списков IP-адресов.”
"Доменные имена легко переносимы", - говорит Сэм Масьелло, директор по управлению угрозами McAfee. "Они используют fast flux для доставки контента.”
В докладе, опубликованном в мае, подчеркивается роль доменных имен в фишинговой киберпреступности. Доклад рабочей группы по борьбе с фишингом “глобальное исследование фишинга: тенденции и использование доменных имен во 2-м полугодии 2008 года” показывает, что за этот период было совершено 56 959 фишинговых атак на 30 454 уникальных доменных имени.
В рамках этого числа “мы идентифицировали 5591 объект, который, по нашему мнению, был зарегистрирован фишерами”, говорится в отчете. "Эти" вредоносные " домены составляют около 18,5% доменных имен, вовлеченных в фишинг. Практически все остальные были взломаны доменами, принадлежащими невинным владельцам сайтов.”
В докладе отмечается, что число фишинговых методов, основанных на уникальных IP-адресах, а не доменных именах, неуклонно снижается-с 6336 в первой половине 2007 года до всего лишь 2809 уникальных IP-адресов во второй половине прошлого года.
Еще одна тенденция, согласно отчету, заключается в том, что фишеры используют так называемые “услуги регистрации поддоменов” через провайдеров, которые предоставляют клиентам поддоменные “учетные записи хостинга” под доменным именем, принадлежащим провайдеру. Эта практика может быть смягчена только самими поставщиками поддоменов, “и некоторые из этих услуг не реагируют на жалобы", говорится в докладе.
Это выводит проблему на другой уровень, особенно для ICANN, которая не имеет очевидных полномочий за пределами своих прямых договорных отношений с регистраторами и реестрами в управляемом ICANN мире доменных имен.
Поддомены сейчас составляют около 12% всех доменов, вовлеченных в фишинг, причем российский провайдер freemail Pochta.ru и французский хостинг-провайдер Wistee.fr говорят, что это самые злостные нарушители среди 360 поставщиков регистрации поддоменов. Тем не менее, в отчете отмечается, что домен .com по-прежнему оценивается как самый крупный отдельный дву, пользующийся поддержкой фишеров, на долю которого приходится 46% фишинговых доменов, отслеживаемых за этот период.
ICANN отвечает
VeriSign, авторитетный аккредитованный ICANN реестр для .com и .net, отказался обсуждать тему злоупотребления доменными именами. ICANN признает проблему злоупотребления доменными именами со стороны преступного мира, но ее политика все еще развивается, и существует много неопределенностей относительно полномочий ICANN в этой области.
"Преступная деятельность, связанная со злоупотреблением доменными именами, является огромной проблемой для ICANN", - говорит Стейси Бернетт, директор отдела соблюдения договорных обязательств компании Marina Del Ray, Калифорния.-базовая организация. - Это нарушает работу системы.”
Вершину айсберга можно увидеть в нерегулярностях в базе Whois. ICANN получает тысячи жалоб на регистраторов каждый год, многие из которых связаны с предполагаемыми недостатками или неверной информацией в базе данных Whois. ICANN должна изучить их все, а затем связаться с регистраторами, чтобы сообщить и устранить любые выявленные недостатки.
Но когда речь заходит о более широкой проблеме злоупотребления доменными именами киберпреступниками, ICANN сегодня не в состоянии играть роль полицейского. "ICANN-некоммерческая организация, мы не являемся регулирующим органом или полицейским органом”, - указывает Бернетт.
Но ICANN провела совещания, в том числе “семинар по политике злоупотребления регистрацией организаций, поддерживающих общие имена”, который состоялся в Мексике в марте, чтобы обсудить политику и руководящие принципы, которые она, возможно, захочет принять в отношении злоупотребления доменами и злоупотреблений регистрацией.
Дэйв Пишителло, старший технолог ICANN по безопасности, который работает над такими вопросами, говорит, что ICANN планирует представить в октябре предложение о возможных новых руководящих принципах для более жесткой безопасности в преддверии запланированного ICANN расширения новых рдву http://www.networkworld.com/news/2009/062409-icann-new-domains.html в следующем году.
Хотя он не имеет права обсуждать конкретные детали, он указывает, что это предложение должно будет пройти проверку всем сообществом ICANN и выдержать критику, прежде чем оно получит какой-либо шанс быть принятым правлением ICANN.
“Мы больше фокусируемся на вопросах регистрации и злонамеренном поведении”, - говорит Пишителло. “Я не думаю, что кто-то хочет видеть, как злоупотребляют DNS.”
VeriSign, отмечает он, недавно предложила добавить службу строгой аутентификации для регистраторов и владельцев регистраций для двухфакторной аутентификации. Другие идеи, такие как требование аудита регистраторов, определенно находятся на столе в ICANN, говорит Пискителло.
Но он отмечает, что сообщество ICANN является широким, состоящим из стран, которые имеют больше влияния на то, как используются их домены верхнего уровня с кодом страны (ccTLD), чем ICANN. “Мы можем подать пример с рдву, но только совместные усилия со всеми правительствами могут решить эту проблему.”
Между тем, комитет ICANN в прошлом месяце опубликовал 154-страничный документ. доклад на тему быстрого потока и преступного злоупотребления доменными именами. Как и любой документ, он сам по себе не обязательно означает изменение, но ICANN отмечает, что это может привести к тому, что организация “рассмотрит вопрос о том, могут ли положения политики злоупотреблений регистрацией решить проблему fast flux, предоставив реестрам/регистраторам право удалять доменное имя, вовлеченное в вредоносный или незаконный fast flux.”
Пишителло говорит, что до сих пор не было достигнуто консенсуса относительно того, что делать по этому вопросу. Методы обнаружения для раскрытия преступного быстрого потока достаточно надежны, но были высказаны опасения по поводу ответственности в случае ложных срабатываний.
Доменное имя может быть удобным инструментом в киберпреступности сегодня, “но одна из целей сообщества DNS состоит в том, чтобы вытащить этот инструмент из набора инструментов”, - сказал он.
Внесение изменений
Существует множество языковых и юрисдикционных юридических проблем, которые чрезвычайно затрудняют решение проблем злоупотребления доменными именами, говорит Рам Мохан, технический директор Дублинского поставщика регистрационных услуг Afilias и представитель Консультативного комитета ICANN по безопасности и стабильности (SSAC) в Совете директоров ICANN.
По его мнению, ICANN, которая несет общую ответственность за базу данных Whois регистрационной информации, должна найти способ проверить эти записи.
“Некоторые правила в ICANN просто нарушены", - говорит Мохан. Общая система регистрации доменных имен " была создана во времена доброкачественного Интернета. Сегодня у нас нет бремени проверки, и это можно исправить.- Он также говорит, что было бы разумно потребовать проведения какого-то аудита безопасности регистраторов и реестров.
Некоторые сомневаются, что ICANN действительно обладает полномочиями или волей должным образом контролировать систему, которую она контролирует. Стюарт из SecureWorks, например, считает, что национальные сертификаты, зафрахтованные в каждой стране для реагирования на чрезвычайные ситуации и предупреждения о безопасности, должны быть расширены для координации реагирования на киберпреступность, такую как злоупотребление доменными именами.
Мохан говорит, что он надеется, что некоторые реформы могут быть проведены до того, как ICANN приступит к реализации своих планов в следующем году по созданию целого нового набора доменов верхнего уровня. "ICANN открывает шлюзы для доменов верхнего уровня", - говорит Мохан. Если система регистрации доменных имен не может быть улучшена, проблема злоупотреблений может только усугубиться.
Попытки промышленности перекрыть преступный доступ к доменным именам оказываются трудными. Первая глобально организованная попытка сделать это-рабочая группа Conficker-была направлена на то, чтобы отключить Домены, предназначенные червем Conficker для использования в его системе командования и управления. Но после шести месяцев попыток это уже не так заметно.
"Снимаю шляпу перед Microsoft за организацию этого", - говорит Neustar'S Neuman. Neustar присоединилась к рабочей группе Conficker вместе с другими компаниями, имеющими определенную власть влиять на систему доменных имен, включая VeriSign, Afilias, Public Internet Registry, Global Domains International, ICANN и китайскую CNNIC, в том числе поставщика услуг безопасности Symantec.
Но сложная бот-сеть Conficker-теперь довольно тихая за пределами попыток продать поддельное антивирусное программное обеспечение-остается неизменной как командно-контрольная структура около 4,5 миллионов скомпрометированных компьютеров, которые она спокойно держит в качестве зомби.
Рабочая группа Conficker, несмотря на усилия по объединению миллионов доменных имен, которые Conficker был запрограммирован использовать, была обойдена с фланга, когда дизайнеры ботнета переключились на ccTLD в США .Версия Conficker на языке Си появилась в начале этого года.
Рабочая группа Conficker не смогла собрать достаточное количество участников ccTLD, чтобы эффективно связать Домены Conficker. “У нас есть 90% ccTLD partipating, но 10% не участвуют”, - говорит Тернер из Symantec.
” Это не сработало",-говорит Дэн Холден, менеджер по продуктам X-Force в подразделении IBM Internet Security Systems .
Microsoft, которая предложила награду в размере 250 000 долларов за информацию, ведущую к аресту и осуждению лиц, ответственных за Conficker, заявила в своем заявлении, что рабочая группа Conficker установила “новый уровень отраслевого сотрудничества и сотрудничества” для быстрого реагирования и метода защиты, и что расследование Conficker все еще продолжается.
Пискителло ICANN говорит, что важность рабочей группы Conficker заключается в том, что она “продемонстрировала, что если мы добьемся значительного сотрудничества, то сможем причинить немного боли преступнику, сделать его более трудным. Его успех заключается в создании совместной реакции.”
Автор: Keylogger.Org Команда
