Dobri momci spuštaju Botnet Mega-D

Za dvije godine kao istraživač sa zaštitarskom tvrtkom FireEye, Atif Mushtaq radio je kako bi zadržao zlonamjerni softver Mega-D bot od zaraze klijentskim mrežama, U tom je procesu saznao kako su ga upravitelji upravljali. Prošlog lipnja počeo je objavljivati ​​svoje nalaze na mreži. U studenome se odjednom prebacio s de-fensea na uvredu. I Mega-D - moćna, otporna botneta koja je prisilila 250.000 računala da se natječu - silazi.

Kontrole za ciljanje

Mushtaq i dva suradnika iz FireEye-a otišle su nakon zapovjedne infrastrukture Mega-D. Prvi napad vala botnet koristi privitke e-pošte, web-bazirane ofenzive i druge metode distribucije kako bi zarazili ogroman broj računala s zlonamjernim bot programima.

Botovi primaju narudžbe iz online poslužitelja za nadzor i upravljanje (C & C) ali ti poslužitelji su Achillesova peta botneta: Izolirajte ih, a nepotreban bot će sjediti u stanju mirovanja. Mega-D kontroleri koristili su daleki niz C & C poslužitelja, međutim, svaki bot u svojoj vojsci bio je dodijeljen popis dodatnih odredišta za pokušaj ako ne može doći do svog primarnog poslužitelja.

Synchronized Assault

Mushtaqov tim prvi je kontaktirao davatelje internetskih usluga koji su nesvjesno ugostili Mega-D.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala] kontrolni poslužitelji; njegovo istraživanje pokazalo je da se većina poslužitelja temelji na Sjedinjenim Američkim Državama, s jednom u Turskoj i drugom u Izraelu.

Grupa FireEye dobila je pozitivne odgovore, osim kod inozemnih ISP-ova. Domaći C & C poslužitelji srušili su se.

Zatim su Mushtaq i tvrtka stupili u kontakt s registrarima domena koji su vodili evidencije za nazive domena koje je Mega-D koristio za svoje kontrolne poslužitelje. Zapisničari su surađivali s FireEyem kako bi uputili postojeća imena domena Mega-D na ne-gdje. Odstranjivanjem bazena naziva domena botneta, antitrustovci su osigurali da botovi ne mogu doći do poslužitelja povezanih s Mega-D-om koji su prekomorske ISP-ove odbijale ukloniti.

Konačno, FireEye i registrari radili su na traženju rezervnih imena domena da su Mega-D kontrolori navedeni u programu robota. Regulatori su namjeravali registrirati i koristiti jedan ili više rezervnih mreža ako postojeće domene ode - pa ih FireEye podigne i pokaže na "ponore" (poslužitelje koje je postavio da mirno sjednu i prijavljuju napore Mega -D roboti za prijavu za narudžbe). Pomoću tih zapisa, FireEye je procijenio da botnet sadrži oko 250.000 računala s oštećenjem Mega-D.

Down Goes Mega-D

MessageLabs, Symantecova sigurnosna podružnica, izvještava da je Mega-D "dosljedno u prvih 10 spam robota "za prethodnu godinu (find.pcworld.com/64165). Danas, botnet je izlazio iz dana u dan, no 1. studenoga Mega-D je iznosio 11,8 posto svih spamova koje su vidjeli MessageLabs.

Tri dana kasnije, djelovanje FireEyea smanjilo je tržišni udio internetske pošte Mega-D na manje od 0,1, kaže MessageLabs.

FireEye planira predati anti-Mega-D napor za ShadowServer.org, grupu volontera koja će pratiti IP adrese zaraženih strojeva i kontaktirati pogođene ISP-ove i tvrtke. Poslovna mreža ili administratori ISP-a mogu se prijaviti za besplatnu uslugu obavijesti.

Nastavak bitke

Mushtaq priznaje da je uspješna napada Offea protiv Mega-D bila samo jedna bitka u ratu protiv zlonamjernih programa. Kriminalci iza Mega-D mogu pokušati oživjeti botnet, kaže on, ili ga mogu napustiti i stvoriti novu. Ali druge botnete i dalje napreduju. <">" FireEye je imala veliku pobjedu ", kaže Joe Stewart, direktor istraživanja zlonamjernih programa sa SecureWorksom. Pitanje je hoće li imati dugoročni učinak?

Kao i FireEye, Stewartova sigurnosna tvrtka štiti klijentske mreže od botneta i drugih prijetnji; i kao Mushtaq, Stewart je proveo godina borbi protiv kriminalnih poduzeća. Godine 2009. Stewart je iznio prijedlog za stvaranje volonternih skupina posvećenih izradi botneta koje su neprofitne za pokretanje. No, malo sigurnosnih stručnjaka moglo bi se obvezati na tako dugotrajnu volontersku aktivnost.

"Potrebno je puno vremena i sredstava i novca za svaki dan", kaže Stewart. Drugi, pod-radarski štrajkovi na raznim botnetima i zločinačkim organizacijama dogodili su se, ali ove pohvalne napore "neće zaustaviti poslovni model spamera."

Mushtaq, Stewart i drugi sigurnosni stručnjaci slažu se da federalni provođenje zakona mora uskočiti s punim radnim vremenom. Prema Stewartu, regulatori nisu započeli s izradom ozbiljnih planova da se to dogodi, ali Mushtaq kaže da FireEye dijeli metodu domaćim i međunarodnim provođenjem zakona, a on se nada.

Sve dok se to ne dogodi, "mi smo definitivno želeći to ponoviti ", kaže Mushtaq. "Želimo pokazati negativce da ne spavamo."