Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Cloudflare ги отстрани Aisuru ботнет домените од листата на најпосетувани страници

Објавено: 07.11.2025

Во изминатата недела, домените поврзани со масивниот Aisuru ботнет повеќепати ги надминувале Amazon, Apple, Google и Microsoft на јавната листа на Cloudflare за најчесто побарувани веб-страници.

Како одговор, Cloudflare ги отстрани (редактираше) имињата на Aisuru домените од својата листа на најпопуларни страници.

Извршниот директор на Cloudflare изјави дека операторите на Aisuru ботнетот го користат ботнетот за вештачко зголемување на рангирањето на своите злонамерни домени, додека истовремено ја напаѓаат DNS услугата на компанијата.


Позициите #1 и #3 на овој графикон се контролни сервери на Aisuru ботнетот, при што нивните целосни имиња на домени се редактирани (отстранети).

Aisuru е брзо растечки ботнет составен од стотици илјади хакирани IoT уреди, како слабо заштитени интернет рутери и безбедносни камери. Ботнетот значително се зголеми по големина и моќност откако дебитираше во 2024 година, прикажувајќи способност за лансирање рекордни DDoS напади со обем на податоци до 30 терабити во секунда.

Сè до неодамна, злонамерниот код на Aisuru ги упатуваше сите заразени системи да користат DNS сервери на Google — конкретно, серверите на 8.8.8.8. Но, на почетокот на октомври, Aisuru премина на користење на главниот DNS сервер на Cloudflare — 1.1.1.1, и во изминатата недела домените што ги користи за контролирање на заразените уреди почнаа да се појавуваат во топ рангирањата на Cloudflare.

Како што скриншотовите на Aisuru домените кои заземаа две од Топ 10 позиции се ширеа по социјалните мрежи, многумина се загрижија дека ова е уште еден знак дека веќе неконтролираниот ботнет делува целосно хаотично. Еден Aisuru домен што денови беше на #1 на листата, всушност беше нечја улична адреса во Масачусетс, следена со „.com“. Други домени на Aisuru имитираа оние на големи cloud провајдери.

Cloudflare се обиде да ги реши проблемите со безбедноста, конфузијата околу брендот и прашањата за приватност со делумно редактирање на злонамерните домени, додавајќи предупредување на врвот на своите рангирања:

„Имајте предвид дека листите со топ 100 домени и листите со популарни домени вклучуваат домени со органска активност, како и домени со растечко злонамерно однесување.“

Извршниот директор на Cloudflare, Matthew Prince, изјави за KrebsOnSecurity дека системот за рангирање на домени на компанијата е прилично едноставен и дека тој само ја мери количината на DNS барања кон 1.1.1.1.

„Напаѓачот генерира голем број барања, можеби за да влијае на рангирањето, но и за да ја напаѓа нашата DNS услуга,“ рече Prince, додавајќи дека Cloudflare добила извештаи дека и други големи јавни DNS сервиси забележале слично зголемување на нападите. „Ги подобруваме ранкинзите за да бидат поинтелигентни. Во меѓувреме, ги редактираме сите сајтови што ги класифицираме како малициозни.“

Renee Burton, потпретседателка за threat intelligence во DNS безбедносната фирма Infoblox, истакна дека многу луѓе погрешно сметале дека искривените рангирања на Cloudflare значат дека има повеќе заразени уреди отколку редовни уреди кои праќаат барања кон Google, Apple и Microsoft.

„Документацијата на Cloudflare е јасна — тие знаат дека при рангирање на домени мора да се прават избори за тоа како да се нормализираат податоците,“ напиша Burton на LinkedIn. „Постојат многу аспекти кои се надвор од вашата контрола: TTL вредности, кеширање, prefetching, архитектура, load balancing. Сè што е под контрола на сопственикот на доменот и се што е помеѓу.“

Alex Greenland, извршен директор на фирмата за анти-фишинг и безбедност Epi, истакна дека техничкиот причин за појавување на домените на Aisuru во Cloudflare ранкинзите е јасен (ранкинзите се базираат на волуменот на DNS барања, а не на реални посети на веб), но додаде дека тие сè уште не треба да бидат таму.

„Ова е пропуст од Cloudflare и покажува компромитирање на довербата и интегритетот на нивните ранкинзи,“ рече Greenland.

Тој додаде дека Cloudflare планирал Domain Rankings да ги прикажува најпопуларните домени како што ги користат вистински луѓе, и дека никогаш не било замислено да биде сурова пресметка на фреквенцијата на барања или обем на сообраќај преку нивниот DNS резолвер 1.1.1.1.

„Тие објаснија дека нивниот алгоритам за популарност е дизајниран да ја одразува вистинската употреба од луѓе и да го исклучи автоматизираниот сообраќај (речеа дека се добри во тоа),“ напиша Greenland. „Очигледно нешто тргнало наопаку внатрешно. Треба да имаме две ранкинзи: еден што претставува доверба и вистинска човечка употреба, и друг што е изведен од суровиот DNS волумен.“

Зошто е добра идеја целосно да се одделат малициозните домени од листата?
Greenland објаснува дека Cloudflare Domain Rankings се широко користени за одредување на доверба и безбедност, од страна на прелистувачи, DNS резолвери, safe browsing API и услуги како TRANCO.

„TRANCO е реномирана open source листа на топ милион домени, а Cloudflare Radar е еден од петте нивни добавувачи на податоци,“ продолжи тој. „Значи може да има сериозни последици кога злонамерен домен се појавува во топ 10/100/1000/милјон на Cloudflare. За многумина и системи, топ 10 и 100 се наивно сметаат за безбедни и доверливи, иако топ-N листите дефинирани алгоритамски секогаш ќе бидат во одредена мера груби.“

Во изминатата недела, Cloudflare почна да редактира делови од злонамерните Aisuru домени од листата на Top Domains, оставајќи видлив само нивниот домен суфикс. Во последните 24 часа, изгледа дека Cloudflare почна целосно да ги крие злонамерните Aisuru домени од веб-верзијата на листата. Сепак, при симнување на табелата со тековните Top 200 домени од Cloudflare Radar, еден Aisuru домен сè уште е на самиот врв.

Според веб-страницата на Cloudflare, поголемиот дел од DNS барањата кон топ Aisuru домените — речиси 52% — потекнуваат од САД, што е во согласност со раното октомвриско истражување кое покажува дека Aisuru црпи најголем дел од моќноста од IoT уреди хостирани на американски интернет провајдери како AT&T, Comcast и Verizon.

Експертите кои го следат Aisuru велат дека ботнетот зависи од повеќе од сто контролни сервери, а за моментот, повеќето од тие домени се регистрирани под .su TLD. (Dot-su е TLD доделен на поранешниот Советски Сојуз; страницата на Wikipedia вели дека TLD бил создаден само 15 месеци пред падот на Берлинскиот ѕид).

Блог пост на Cloudflare од 27 октомври откри дека .su имал највисока „DNS magnitude“ меѓу сите TLD, што се однесува на метрика која ја проценува популарноста на TLD според бројот на уникатни мрежи кои праќаат барања кон Cloudflare 1.1.1.1 резолверот. Извештајот заклучи дека топ .su хостови биле поврзани со популарна онлајн игра за градење светови, и дека повеќе од половината од барањата за тој TLD доаѓале од САД, Бразил и Германија (вредно е да се напомене дека серверите за играта Minecraft биле некои од најчестите цели на Aisuru).

Едноставен и груб начин за детекција на Aisuru активност во мрежата е поставување на аларм за системи кои се обидуваат да контактираат домени што завршуваат со .su. Овој TLD често се злоупотребува за сајбер криминал и од сајбер криминални форуми и услуги, и блокирање на пристапот кон него целосно најверојатно нема да предизвика легитимни жалби.

Извори:

  • Krebs on Security – „Cloudflare Scrubs Aisuru Botnet from Top Domains List“ Krebs on Security