Jó srácok a Mega-D botnethez

Két éven keresztül a FireEye biztonsági vállalatának kutatójaként az Atif Mushtaq megpróbálta megtartani a Mega-D bot kártevőket az ügyfelek hálózatainak megfertőzésében. A folyamat során megtudta, hogyan működtetik az irányítói. Tavaly júniusban elkezdte közzétenni az eredményeit online. Novemberben hirtelen átállt a fúzióról a bűncselekményre. És Mega-D - erőteljes, rugalmas botnett, amely 250.000 PC-t kényszerített arra, hogy licitálhasson.

Célzásvezérlők

Mushtaq és két FireEye munkatársa megkerülte a Mega-D parancs-infrastruktúráját. A botnet első támadási hulláma e-mail mellékleteket, webalapú offenzívákat és más terjesztési módszereket használ, amelyek megfertőzik a nagyszámú PC-t rosszindulatú botprogramokkal.

A botok az online parancs- és vezérlési (C & C) de ezek a szerverek a botnet Achilles-sarkai: elszigetelik őket, és a nem irányított botok üresen maradnak. A Mega-D vezérlői azonban messze csomó C & C szervereket használtak, és a hadseregben lévő minden botot hozzárendeltek további célállomások listájához, hogy megpróbálják, ha nem tudják elérni elsődleges parancskiszolgálóját. Tehát a Mega-D leállítása gondosan összehangolt támadást igényelne.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépéről]

Synchronized Assault

A Mushtaq csapata először kapcsolatba lépett az internetszolgáltatókkal, akik akaratlanul Mega-D ellenőrző szerverek; kutatásai azt mutatták, hogy a szerverek többsége az Egyesült Államokban volt, egy Törökországban és egy Izraelben.

A FireEye csoport pozitív válaszokat kapott, kivéve a tengerentúli internetszolgáltatókat. A hazai C & C kiszolgálók lemerültek.

Ezután a Mushtaq és a vállalat kapcsolatba lépett a domain-név regisztrátorokkal, akik rekordokat tároltak azon domainnevek számára, amelyeket a Mega-D használt a vezérlő szerverei számára. A regisztrátorok együttműködtek a FireEye-szel, hogy a Mega-D meglévő domainneveket pontosítsák. A botnet domainnévcsomagjának levágásával az antibotneti szövetkezetek biztosította, hogy a botok ne érhessék meg a Mega-D-hez kapcsolódó kiszolgálókat, amelyeket a tengerentúli internetszolgáltatók elutasították.

Végül a FireEye és a regisztrátorok a tartalékdomaineket hogy a Mega-D vezérlői szerepelnek a robotok programozásában. A vezérlők egy vagy több tartalék áramforrást regisztráltak és használtak, ha a meglévő tartományok lemerültek - így a FireEye felvette őket és "lyukakkal" mutatott rá (szerverek, amelyeket nyugodtan ülnek, és bejelentik a Mega erőfeszítéseit -D robotok a rendelésekhez való bejelentkezéshez). A FireEye becslése szerint a botnet körülbelül 250 000 Mega-D-fertőzött számítógépről állt.

Down Goes Mega-D

A Symantec e-mail biztonsági leányvállalata MessageLabs jelentése szerint a Mega-D "következetesen az első 10 spamrobot közül "(find.pcworld.com/64165). A botnet teljesítménye napról-napra ingadozott, de november 1-jén a Mega-D 11,8 százalékát tette ki a MessageLabs által észlelt összes spamnek.

Három nappal később, a FireEye fellépése csökkentette a Mega-D internetes spam mennyiségét, százaléka, a MessageLabs szerint.

A FireEye azt tervezi, hogy az ShadowServer.org-nak, az önkéntes csoportnak, amely nyomon fogja követni a fertőzött gépek IP-címét, kapcsolatba lép az érintett internetszolgáltatókkal és vállalkozásokkal. Az üzleti hálózat vagy az ISP-adminisztrátorok regisztrálhatnak az ingyenes értesítési szolgáltatásért.

A Battle folytatása

Mushtaq elismeri, hogy a FireEye sikeres támadása a Mega-D ellen csak egyetlen csata volt a rosszindulatú programok elleni háborúban. A Mega-D mögött álló bűnözők megpróbálhatják újraéleszteni botnetjüket, mondja, vagy elhagyhatják, és újakat hozhatnak létre. De más botnetek továbbra is sikeresek.

"A FireEye jelentős győzelmet aratott" - mondja Joe Stewart, a SecureWorks nevű malware kutatás vezetője. "A kérdés az, hogy van-e hosszú távú hatása?"

Mint a FireEye, a Stewart biztonsági vállalata védi az ügyfélhálózatokat a botnetektől és más fenyegetésekből; és mint Mushtaq, Stewart éveket töltött a bűnöző vállalkozások elleni küzdelemben. 2009-ben Stewart körvonalazott egy olyan javaslatot, amely olyan önkéntes csoportokat hoz létre, amelyek a botnetek veszteséges futtatására törekednek. De néhány biztonsági szakember elkötelezhette magát egy ilyen, időigényes önkéntes tevékenység mellett.

"Időre, erőforrásokra és pénzre van szükség nap mint nap" - mondja Stewart. Más, a különböző botnetek és bűnszervezetek alatti radaros támadások történtek - mondja -, de ezek a dicséretes erőfeszítések "nem fogják megakadályozni a spammer üzleti modelljét".

Mushtaq, Stewart és más biztonsági szakértők egyetértenek abban, hogy a szövetségi bűnüldözésnek teljes körű koordinációs erőfeszítésekkel kell lépnie. Stewart szerint a szabályozók még nem kezdték komoly terveket készíteni ennek megvalósítására, de Mushtaq azt mondja, hogy a FireEye a hazai és a nemzetközi bűnüldözéssel közösen osztja meg módszerét.

Amíg ez nem történik meg, hogy újra ezt tennék "- mondja Mushtaq. "Meg akarjuk mutatni a rosszfiúknak, hogy nem alszunk."