Подписка на данные о командных центрах ботнетов

Что такое ботнеты и чем они опасны?

Сегодня кибератаки и заражение вредоносным ПО часто осуществляются с применением ботнетов и связанной с ними инфраструктуры. Атаки, выполняемые через ботнеты, могут быть направлены как против обычных пользователей интернета, так и против конкретных организаций. Сложные алгоритмы, позволяющие избежать обнаружения (в том числе современная криптография и средства обнаружения «песочниц»), дополнительно способствуют росту числа атак данного типа. Большинство жертв ботнетов не в курсе того, что они заражены, и продолжают работать как обычно, помогая ботнету расти и облегчая преступникам доступ к ценным данным и вычислительным ресурсам.

Некоторые факты о ботнетах

  • Впервые зафиксированы в 2000 г.
  • Известные ботнеты: Conficker, Zeus, Waledac, Mariposa, Kelihos, Rustock
  • Количество компьютеров и сетей, заражённых и включенных в ботнеты, растёт с каждым годом.
  • Основной способ заражения: через взломанные веб-сайты и почтовые рассылки.
  • Цель заражения: рассылка спама, DDoS-атаки, кража информации и личных данных, создание распределённых вычислительных сетей, финансовое мошенничество, накрутка просмотров рекламы и т.д.
  • Создатели ботнетов сдают заражённые компьютеры в аренду любому, готовому заплатить.

Подписка Kaspersky Botnet C&C Data Feeds

Kaspersky Botnet C&C Data Feeds – это наборы URL и хэшей со всем контентом (имена угроз, временные отметки, геолокация, идентифицированные IP инфицированных веб-ресурсов, хэши используемого вредоносного ПО и т.д.), необходимым для борьбы с серверами десктопных и мобильных ботнетов, а также связанными с ними вредоносными объектами. В отличие от традиционных потоков данных о ботнетах, мы предоставляем точную и своевременную информацию на основе анализа деятельности существующих ботнетов в режиме реального времени. Эти потоки данных позволяют обнаружить подключения к серверам ботнетов (C&C), используемым киберпреступниками для управления инфицированными машинами (ботами).

Подписка Kaspersky Botnet C&C Data Feeds может использоваться как в сетевых устройствах начального уровня, так и в высокопроизводительных корпоративных шлюзах и серверах; интегрироваться в решения для контент-фильтрации и интернет-безопасности, а также в инфраструктуру интернет-провайдеров и хостинг-компаний. Продукт совершенно независим от программной и аппаратной конфигурации и может успешно внедряться в проприетарные (отличные от x86/Linux) платформы.

Сбор и анализ данных

Потоки данных Kaspersky Botnet C&C Data Feeds агрегируются из разнообразных надёжных источников, таких как Kaspersky Security Network и наши собственные веб-роботы, сервис мониторинга ботнетов (уникальная проприетарная платформа, круглосуточно отслеживающая ботнеты и боты, их цели и деятельность), спам-ловушки, сведения, полученные от команды аналитиков и от партнёров. Затем полученные данные внимательно анализируются и уточняются в режиме реального времени с помощью различных методик, таких как статистические критерии, экспертные системы «Лаборатории Касперского» («песочницы», эвристические алгоритмы, мультисканеры, средства сравнения, анализаторы поведения и т.п.), сверка по белым спискам и вручную аналитиками:

Anti-Botnet

Потоки данных Kaspersky Botnet C&C Data Feeds содержат тщательно проверенные данные об угрозах, получаемые из реального мира в режиме реального времени.

О сервисе

  • Потоки данных, содержащие ложноположительные результаты, практически бесполезны, поэтому до отправки заказчику данные проходят через многочисленные фильтры и тесты, чтобы гарантировать 100% надёжность.
  • Анализируемая информация непрерывно поступает из Kaspersky Security Network (гигантская распределённая сеть более чем из 100 миллионов пользователей со всего мира) и обновляется в режиме реального времени.
  • Ежеминутно обновляемые потоки данных информируют о деятельности ботнетов во всём мире.
  • Сотни тысяч масок обнаруживают командные серверы ботнетов и связанные с ними веб-ресурсы.
  • Исчерпывающее покрытие (ежедневно отслеживаются десятки тысяч ботнетов и ботов).
  • Данные предоставляются в простых и легкодоступных форматах (JSON, CSV, OpenIoC, STIX) по протоколам FTP, HTTPS или кастомизированными средствами доставки для простой интеграции в защитные решения.

Преимущества

  • Обнаружение веб-ресурсов, на которые боты отправляют похищенные данные, и усиление защиты интернет-пользователей (чья информация и личные данные будут защищены от кражи, а вычислительные ресурсы – от контроля преступников) и репутации бренда вашей компании (благодаря защите конфиденциальных данных от утечки).
  • Обнаружение веб-ресурсов, с которых боты получают команды и инструкции, и превентивная защита от кибератак со стороны соответствующих ботнетов в режиме реального времени.
  • Блокировка вредоносного трафика с серверов / на серверы ботнетов в интернете и выявление взломанных машин в вашей организации/сети.
  • Фильтрация адресов и URL во входящем и исходящем трафике в вашей сети для превентивной защиты от угроз.
  • Исчерпывающая информация для борьбы с крупными глобальными ботнетами без необходимости масштабных вложений в создание центров анализа комплексных угроз; глобальная картина деятельности ботнетов в режиме реального времени.
  • Возможность сообщать о незаконной деятельности интернет- и сервис-провайдерам, в которых хостятся командные серверы ботнетов, что позволит провайдеру уничтожить соответствующие ресурсы и нарушить или даже полностью парализовать работу ботнета.

Сценарии использования

  • Дополнение существующих решений для защиты сети (включая межсетевые экраны, IPS/IDS, защитный прокси, защищённую DNS) непрерывно обновляемыми индикаторами взлома (Indicators of Compromise, IOCs) и имеющим практическую ценность контекстом для превентивного усиления сетевой безопасности и надёжного предотвращения утечек данных.
  • Разработка или усиление мер антивирусной защиты периферийных сетевых устройств (в том числе роутеров, шлюзов, UTM-устройств) и обнаружение вредоносных объектов путём анализа сетевого трафика.
  • Выявление активного заражения и сетевых узлов, используемых киберпреступниками в пределах периметра безопасности.
  • Предотвращение потери и утечки конфиденциальной информации, которая может быть использована для присвоения личных данных или нанесение ущерба бренду.
  • Нейтрализация командных серверов ботнета, отправляющих команды на атаку против конкретных клиентов; информирование этих клиентов о новых атаках, уровне опасности и необходимых мерах для предотвращения подобных атак в будущем.

По всей видимости, количество атак с использованием ботнетов в будущем будет только расти. Воспользуйтесь информацией о ботнетах, чтобы помешать преступникам наносить ущерб вашим клиентам или бизнесу. Сервис Kaspersky Botnet C&C Data Feeds позволит вам эффективно и недорого усилить имеющиеся меры безопасности и поддерживать их в актуальном состоянии. Вооружитесь исчерпывающими знаниями о намерениях, возможностях и целях киберпреступного подполья и эффективно интегрируйте их в существующую инфраструктуру безопасности.

Свяжитесь с нами!

Если вы хотите получить дополнительную информацию или приобрести продукт, введите ваш вопрос/запрос/предложение и контактную информацию в форму обратной связи, и наш представитель оперативно свяжется

СТАТЬ ТЕХНОЛОГИЧЕСКИМ ПАРТНЕРОМ