Dobří kluci vyvedou Mega-D Botnet

Již dva roky jako výzkumný pracovník s bezpečnostní společností FireEye Atif Mushtaq pracoval na tom, aby Mega-D malware z infikovaných klientských sítí. Během tohoto procesu se dozvěděl, jak ho ovládají jeho regulátoři. V červnu začal zveřejňovat své nálezy online. V listopadu se náhle změnil z rozhořčení na přestupek. A Mega-D - výkonný a odolný botnet, který donutil 250 000 počítačů, aby provedli své nabídky - se snižoval.

Mushtaq a dva kolegové FireEye šli po Mega-D řídící infrastruktuře. První vlna útoku pomocí botnetu používá e-mailové přílohy, útoky založené na webu a jiné distribuční metody, které infikují obrovské množství počítačů se škodlivými botovými programy.

Roboty dostávají objednávky pochodů od serverů příkazů a řízení (C & C) ale tyto servery jsou Achillovou patou botnetu: Izolujte je a nekorektní roboti budou sedět nečinně. Ovládací jednotky Mega-D používaly dalekosáhlé pole C & C serverů a každý bot ve své armádě byl přidělen seznam dalších cílů, aby se pokusil, zda nedokáže dosáhnout svého primárního příkazového serveru. Takže snižování Mega-D by vyžadovalo pečlivě koordinovaný útok.

[

]> Mushtaqův tým poprvé kontaktoval poskytovatele internetových služeb, kteří nevědomky hostili Mega-D řídicí servery; jeho výzkum ukázal, že většina serverů sídlí ve Spojených státech, z nichž jeden je v Turecku a druhý v Izraeli.

Skupina FireEye obdržela pozitivní odpovědi s výjimkou zámořských ISP. Domovní servery C & C klesly.

Mushtaq a společnost se dále obrátili na registrátory doménových jmen, které obsahovaly záznamy o názvech domén, které Mega-D použil pro své řídicí servery. Registráři spolupracovali s firmou FireEye, aby uvedli stávající názvy domén Mega-D na ne-kde. Rozbitím botnetových doménových jmen se pracovníci společnosti Anti-botnet postarali o to, aby se roboti nedostali do Mega-D-spojených serverů, které zahraniční poskytovatelé internetových služeb odmítli snížit.

Nakonec FireEye a registrátoři pracovali na tom, že regulátory Mega-D jsou uvedeny v programování robotů. Ovladače měly v úmyslu zaregistrovat a používat jednu nebo více náhradních zásuvek, jestliže existující domény spadly - tak FireEye je zvedl a ukázal je na "závrty" (servery, které nastavily, aby seděly tiše a zaznamenávaly úsilí Mega -D roboty, které se mají přihlásit k objednávkám). FireEye odhaduje, že botnet sestával z přibližně 250 000 počítačů infikovaných Mega-D.

Down Goes Mega-D

Společnost MessageLabs, dceřiná společnost společnosti Symantec pro zabezpečení e-mailů, uvádí, že Mega-D v top 10 spamových botách "za předchozí rok (find.pcworld.com/64165). Výstup botnetu se každodenně změnil, ale 1. listopadu Mega-D představovalo 11,8 procent všech spamů, které společnost MessageLabs viděla. O tři dny později podnik FireEye snížil podíl společnosti Mega-D na internetovém spamu na méně než 0,1

FireEye plánuje předat úsilí anti-Mega-D na ShadowServer.org, dobrovolnou skupinu, která bude sledovat adresy IP infikovaných počítačů a kontaktovat zasažené ISP a firmy. Pro bezplatnou oznamovací službu se mohou zaregistrovat obchodní sítě nebo správci ISP.

Pokračování v bitvě

Mushtaq si uvědomuje, že úspěšná ofenzivní kampaň FireEye proti Mega-D byla jen jedna bitva ve válce proti malwaru. Zločinci za Mega-D se mohou pokusit oživit botnet, říká, nebo mohou opustit a vytvořit nový. Ale další botnety se nadále daří.

"Společnost FireEye měla velké vítězství," říká Joe Stewart, ředitel výzkumu malwaru společnosti SecureWorks. "Otázkou je, bude to mít dlouhodobý dopad?"

Stejně jako FireEye, Stewartova bezpečnostní společnost chrání klientské sítě před botnety a dalšími hrozbami; a stejně jako Mushtaq, strávil Stewart roky bojem proti zločineckým podnikům. Stewart v roce 2009 načrtl návrh na vytvoření dobrovolnických skupin určených k tomu, aby se botnety staly neziskové. Jen málo odborníků v oblasti bezpečnosti by se mohlo zavázat k tak časově náročnému dobrovolnickému aktivitám.

"Je to potřeba čas, prostředky a peníze, které bychom mohli dělat tento den po dni," říká Stewart. Ostatní, pod radarovým útokem u různých botnetů a zločineckých organizací se vyskytly, řekl, ale tyto chvályhodné snahy "nebudou zastavit obchodní model spamera."

Mushtaq, Stewart a další bezpečnostní pracovníci souhlasí že federální orgán pro prosazování práva musí vstoupit do koordinovaného úsilí na plný úvazek. Podle společnosti Stewart regulátoři nezačali vypracovat vážné plány na to, aby se to stalo, ale Mushtaq říká, že společnost FireEye sdílí svou metodu s domácími a mezinárodními donucovacími orgány a je nadějný.

Dokud se to nestane, "rozhodně jsme chtěl to udělat znovu, "říká Mushtaq. "Chceme ukázat špatným klukům, že nespíme."