Anatomy of an Advanced Persistent Threat (APT) Group
Firma zajmująca się bezpieczeństwem komputerów znana z walki z botnetami przeniosła się w zeszłym tygodniu, by spróbować zamknąć trwały odtwarzacz spamu.
FireEye, kalifornijska firma produkująca urządzenia bezpieczeństwa, śledziła botnet o nazwie Mega -D lub Ozdok. Mega-D, czyli sieć zhackowanych komputerów, odpowiada za wysyłanie ponad 4 procent spamu na świecie, zgodnie z M86 Security. Wiele komputerów tworzących Mega-D jest zainfekowanych komputerami domowymi.
Mega-D jest jednym z kilku botnetów, które wprowadziły zaawansowane środki techniczne, aby zapewnić, że ich właściciele nie tracą kontroli nad zhakowanymi komputerami. Hakerzy wykorzystują serwery kontroli i kontroli do wydawania instrukcji na komputery zombie, na przykład kiedy uruchomić kampanię spamową.
[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]W przypadku Mega -D, zhakowane komputery będą szukały pewnych nazw domen w celu pobrania instrukcji, napisał Atiq Mushtaq z FireEye na blogu firmy. Jeśli te domeny nie są aktywne - są często wyłączane przez dostawców usług internetowych, jeśli są powiązane z nadużyciami - maszyny Mega-D będą szukać niestandardowych serwerów DNS (Domain Name System), aby znaleźć domeny na żywo.
Jeśli to również się nie udaje, Mega-D jest zaprogramowany do generowania losowej nazwy domeny na podstawie bieżącej daty i czasu, napisał Mushtaq. Kiedy hakerzy zarejestrują nazwę domeny, zainfekowane maszyny mogą tam odwiedzać, aby uzyskać nowe instrukcje.
Mechanizmy Mega-D zapewniające, że pozostaną przy życiu, utrudniły firmom ochroniarskim. "Dopóki ktoś nie jest wystarczająco zaangażowany do wstępnej rejestracji tych domen, hodowcy bota zawsze mogą zgłosić się i zarejestrować te domeny i odzyskać kontrolę nad botnetem", napisał Mushtaq.
W ubiegły czwartkowy wieczór, FireEye rozpoczęło atak, kontaktując się z ISP, który miały maszyny działające jako serwery kontrolne dla Mega-D. Wszyscy oprócz czterech dostawców usług zamykają połączenia dla adresów IP używanych przez Mega-D, napisał Mushtaq. FireEye skontaktował się także z rejestratorami, którzy kontrolują nazwy domen używane w Mega-D.
W ostatecznym rozrachunku FireEye zarejestrował automatycznie generowane nazwy domen, które zostały zainfekowane przez komputery Mega-D, gdyby maszyny nie osiągnęły innych komend-i- węzły kontrolne.
Mushtaq napisał w piątek, że około 264 784 unikalnych adresów IP (Internet Protocol) skontaktowało się z serwerem "sinkhole" FireEye lub skonfigurowało serwer w celu identyfikacji zainfekowanych komputerów.
"Dane zebrane z serwera sinkhole Dzienniki będą używane do identyfikacji komputerów ofiary "- napisał Mushtaq.
Mamy nadzieję, że dostawcy usług internetowych skontaktują się z tymi subskrybentami i poinformują ich, że muszą przeprowadzić skanowanie antywirusowe.
Wysiłki FireEye, wraz ze współpracą z dostawcami usług internetowych i rejestratorzy zdają się skutecznie oswoić Mega-D, przynajmniej tymczasowo.
W poniedziałek statystyki M86 Security wykazały, że spam Mega-D prawie się zatrzymał. W poprzednim punkcie M86 zobaczył, że pojedynczy komputer zainfekowany Mega-D wysyła nawet 15 000 wiadomości spamowych na godzinę.
"Wyraźnie widać, że trudne, ale nie niemożliwe jest usunięcie kilku najgorszych botnetów na świecie, "Mushtaq napisał.
Ale ułaskawienie może nie potrwać długo. FireEye uprzedzał Mega-D, rejestrując domeny, których szukałaby bot, ale proces ten może być niekończący się i kosztowny. Jeśli FireEye przestanie rejestrować domeny, a osierocone roboty dzwonią do domu, hakerzy mogą przesłać do nich nowy kod, aby utrudnić ich zamknięcie.
"Nie jesteśmy pewni, jak długo będziemy nadążać za tymi przyszłymi domenami," napisał Mushtaq.
Shadowserver przejmie rolę Mega-D Botnet Herder
Trwają prace nad oczyszczeniem dziesiątek tysięcy komputerów zainfekowanych złośliwym oprogramowaniem znanym za wyrzucanie płodnego spamu.
Dobrzy faceci Przynieś Mega-D Botnet
Chalk jeden dla obrońców. Oto, w jaki sposób trio badaczy bezpieczeństwa wykorzystało trzyetapowy atak, aby pokonać botnet z 250 000 stron.
FireEye wyszukuje kampanie hiperpionage Gh0stRAT
Zgodnie z nowym raportem dobrze znane cyberprzestępstwo o nazwie Gh0st RAT wciąż jest stosowane w ukrytych atakach szkodliwego oprogramowania. z firmy ochroniarskiej FireEye.